|
漏洞编号:
ZVD-2014-1003-F460/F660
CNVD-2014-01538
CVE-2014-2321
发布日期:2014年3月4日
更新日期:2015年2月9日
危害级别:高
漏洞评分:
基础评分:8.3(AV:A/AC:L/Au:N/C:C/I:C/A:C)
临时评分:7.1(E:H/RL:W/RC:UC)
环境评分:5.3(CDP:ND/TD:M/CR:ND/IR:ND/AR:ND)
影响范围:ZTE F460/F660
漏洞描述:
ZTE F460/F660有线调制解调器产品存在未经身份验证的后门,web_shell_cmd.gch脚本接受未经身份验证的命令,可以从WAN接口访问,攻击者在可利用该后门执行任意管理员命令。
漏洞分析:
此后门是为了对设备维护方便而增加的。设备现场运行后,带来安全隐患。F460、F660这两款设备从2011年11月11日开始现网使用,2012年7月31日后的版本中关闭了此后门。目前在网运行的版本中,2012年7月31日前下列版本存在风险:F460 V2.30;F660 V2.30。
解决方法:
针对现网存在风险的版本,ZTE已提供了补丁版本,版本已发布在内部技术支持网站,并通知给售后。现场根据运营商的安排通过网管进行远程升级,以提高安全性。
受此漏洞影响的路由器设备型号还包括:ZXHN F660,ZXHN F620,ZXHN F612,ZXHN F420,ZXHN F412,ZXHN F460,中兴通讯售后团队已联合运营商进行过在网设备升级处理,如果升级过程中有遗漏,请用户及时联系相应的运营商,获取版本升级服务。
参考链接:
CERT/CC:
http://www.kb.cert.org/vuls/id/600724
NVD:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2321
CNVD:
http://www.cnvd.org.cn/flaw/show/CNVD-2014-01538
更新记录:
2015年2月9日 增加受影响的其他路由器设备型号说明。
|