Breaking News

พบช่องโหว่บน Huawei Router รุ่นใหญ่ เผยข้อมูลว่าใช้ Default Password อยู่

Ankit Anubhav หัวหน้าทีมนักวิจัยจาก NewSky Security ออกมาแจ้งเตือนถึงช่องโหว่บน Huawei Router ระดับ Carrier-grade ที่ใช้ใน ISP ซึ่งช่วยให้แฮ็กเกอร์สามารถทราบได้ว่าอุปกรณ์ดังกล่าวใช้รหัสผ่านดั้งเดิมที่มาจากโรงงานหรือไม่ เพียงแค่สแกนผ่าน ZoomEye หรือ Shodan เท่านั้น

Credit: Huawei.com

ช่องโหว่ดังกล่าวมีรหัส CVE-2018-7900 เป็นช่องโหว่บนหน้าล็อกอินของ Router ที่เผลอเปิดเผยข้อมูล Credential ของอุปกรณ์ ส่งผลให้แฮ็กเกอร์สามารถใช้ ZoomEye หรือ Shodan เพื่อค้นหารายชื่อของอุปกรณ์ที่ใช้รหัสผ่านดั้งเดิมที่มาจากโรงงานได้โดยไม่จำเป็นต้องโจมตีแบบ Brute Force หรือทักษะในการแฮ็กระดับสูงแต่อย่างใด

“เมื่อใครบางคนเข้าไปดูซอร์สโค้ด HTML บนหน้าล็อกอิน ตัวแปรบางตัวจะถูกประกาศไว้ หนึ่งในตัวแปรเหล่านั้นจะบอกค่าบางอย่าง ซึ่งถ้าจับตามองค่านั้นให้ดีจะสามารถสรุปได้ว่าอุปกรณ์ดังกล่าวใช้รหัสผ่านดั้งเดิมที่มาจากโรงงานหรือไม่” — Anubhav ระบุใน Blog

NewSky Security ได้แจ้งช่องโหว่นี้ไปยังทีมรักษาความมั่นคงปลอดภัยของ Huawei ซึ่งก็ออกแพตช์สำหรับอุดช่องโหว่เป็นที่เรียบร้อย ขณะนี้กำลังร่วมมือกับ ISP เพื่ออัปเดตแพตช์อยู่ ถึงแม้ว่า NewSky Security จะยังไม่เปิดเผยถึงรายละเอียดของช่องโหว่ดังกล่าว และจำนวนอุปกรณ์ที่ได้รับผลกระทบ แต่ทาง Anubhav ก็ระบุว่าอยู่ในปริมาณที่ “น่าเป็นห่วง”

รายละเอียดเพิ่มเติม: https://blog.newskysecurity.com/information-disclosure-vulnerability-cve-2018-7900-makes-it-easy-for-attackers-to-find-huawei-3e7039b6f44f
ที่มา: https://threatpost.com/huawei-router-default-credential/140234/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] iZeno รับมอบรางวัล Atlassian Partner of the Year 2019: Rising Star APAC

วันนี้ Atlassian ได้ประกาศสู่สาธารณะว่า บริษัท iZeno ถูกเลือกให้ได้รับรางวัล Atlassian Partner of the Year 2019: Rising Star APAC สืบเนื่องมาจากผลงานและความสำเร็จที่โดดเด่นในช่วงปีปฏิทิน 2019 โดยรางวัลอันทรงเกียรตินี้สะท้อนให้เห็นถึงความพยายามในการสร้างธุรกิจใหม่, การขับเคลื่อนความเป็นผู้นำเชิงความคิด รวมถึงเชื่อมต่อผลิตภัณฑ์และบริการเป็น solution stack ที่สามารถตอบโจทย์ความต้องการของลูกค้าทั้งในส่วนของ DevOps และ IT Service Management Solution (ITSM) ทั้งหมดนี้ได้เติมเต็ม Atlassian ในภาพรวมให้มีความสมบูรณ์แบบมากยิ่งขึ้น

Cloudflare ยกเลิกการใช้งาน reCAPTCHA เนื่องจากปัญหาด้าน Privacy และค่าใช้จ่าย

Cloudflare ได้ประกาศยกเลิกการใช้งาน reCAPTCHA ของ Google ในบริการต่างๆของตนเอง เนื่องจากปัญหาทางด้าน Privacy และค่าใช้จ่ายจำนวนมากที่เกิดขึ้น