Эксперты PT выявили серьезную уязвимость в LTE-модемах Huawei

Александр Панасенко 17 Сентября 2015 - 09:55

...

Эксперты PT выявили серьезную уязвимость в LTE-модемах Huawei

Компания Huawei выразила благодарность экспертам Positive Technologies, которые обнаружили и помогли устранить опасную уязвимость в популярных 4G USB-модемах Huawei E3272s.

По результатам исследования уязвимостей 4G USB-модемов Positive Technologies, китайский поставщик телекоммуникационного оборудования выпустил обновленное программное обеспечение для данного устройства.

Потенциальный злоумышленник, как следует из бюллетеня специальной группы быстрого реагирования Huawei PSIRT, может использовать этот недостаток безопасности для блокирования работы целевого устройства, отправив на него вредоносный запрос. Согласно информации исследователей Positive Technologies, уязвимость позволяет осуществлять не только DOS-атаку, но и удаленное исполнение произвольного кода с помощью атак межсайтового скриптинга (XSS) или переполнения стека (Stack Overflow).

Напомним, что в конце 2014 года специалисты Positive Technologies провели масштабное исследование уязвимостей 4G USB-модемов, в которое вошло шесть различных линеек устройств, включая Huawei E3272s, с 30 различными прошивками. Обнаруженные недостатки позволяли получить полные права в системе удаленного модема, взять под контроль компьютер, к которому подключен уязвимый модем, а также аккаунт абонента на портале мобильного оператора. Кроме того, атаки на SIM-карту с помощью бинарных SMS давали возможность перехватить и расшифровать трафик абонента, следить за перемещениями абонента или заблокировать заданную «симку».

В настоящее время линейка LTE-модемов Huawei E3272 (сокращенное название E3272s), по статистике «Яндекс.Маркета», входит в число наиболее востребованных устройств данного класса, а уязвимая модификация модема (Huawei E3272s-153) продается под собственными брендами всеми ведущими российскими операторами сотовой связи.

Исследование 4G USB-модемов — далеко не первая работа экспертов Positive Technologies, посвященная безопасности телекоммуникационного оборудования и мобильной связи. В январе 2015 года был опубликован отчет о серьезных уязвимостях SNMP в сетевом оборудовании Huawei и H3C. Ошибки, выявленные экспертами Positive Technologies, дают возможность злоумышленнику проникнуть в корпоративную сеть любой организации, в том числе в технологическую сеть оператора связи.

В феврале 2015 года в результате исследований группы специалиcтов Positive Technologies выяснилось, что значительное количество устройств, принадлежащих 2G- и 3G-сетям мобильных операторов, доступны через интернет благодаря открытым GTP-портам, а также другим открытым протоколам передачи данных (FTP, Telnet, HTTP). Используя уязвимости в этих интерфейсах (например, стандартные пароли), злоумышленник может подключиться к узлу оператора мобильной связи.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 17 Июня 2025 - 15:05

Мошенничество Дроп (дроппер)Соответствие законодательству РФ Домашние пользователи Государство

Госдума приняла закон о криминализации дропов

Госдума 17 июня приняла в двух чтениях закон, вводящий уголовную ответственность за деятельность дропов — лиц, которые передают свои банковские или иные платёжные средства мошенникам.

Законопроект был внесён правительством 2 мая. Подробности новых норм стали известны за неделю до этого. Экспертное сообщество в целом положительно оценило инициативу.

Принятый закон дополняет статью 187 Уголовного кодекса РФ («Неправомерный оборот средств платежа») новым составом. Гражданам, передающим свои карты за вознаграждение для проведения мошеннических операций, может грозить штраф от 100 до 300 тысяч рублей (или в размере дохода за 3–12 месяцев), до 480 часов обязательных работ, исправительные работы сроком до двух лет либо ограничение свободы на тот же срок.

Аналогичные меры ответственности предусмотрены и для тех, кто использует собственные платёжные средства по указанию или в интересах другого лица.

Более строгое наказание предусмотрено в случае, если передача карты осуществляется из корыстных побуждений лицу, не являющемуся клиентом банка. В этом случае может грозить штраф от 300 тысяч до 1 миллиона рублей, принудительные работы сроком до четырёх лет или лишение свободы до шести лет с дополнительным штрафом от 100 до 500 тысяч рублей (либо в размере дохода за 1–2 года).

Наибольшая ответственность предусмотрена за неправомерные операции с чужими платёжными средствами — банковскими картами или электронными кошельками. Это может повлечь принудительные работы сроком до пяти лет или штраф до 1 миллиона рублей.

Под неправомерными операциями подразумеваются «переводы денежных средств, выдача и (или) получение со счёта наличных, зачисленных на счёт клиента оператора по переводу средств без предусмотренных законом, иными правовыми актами или сделкой оснований».

«Такое решение ограничит преступников в возможностях обналичивания похищенных денег. Это позволит более эффективно защищать граждан и их средства, — отметил председатель Госдумы Вячеслав Володин на пленарном заседании. — Мы с вами вводим жёсткое наказание в отношении тех, кто передаёт злоумышленникам свою карту, причём делает это осознанно, получая за это деньги».

Эксперты PT выявили серьезную уязвимость в LTE-модемах Huawei

Читайте также