|
初始发布日期:2020年12月17日 漏洞描述 外部研究人员徐绘凯(kverse)和于淼(re.about)向ZTE PSIRT报告了关于E8810/E8820/E8822系列路由器的2个漏洞。 经相关产品团队分析,E8810/E8820/E8822系列路由器存在以下2个漏洞: CVE-2020-6881:5.9中危(AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H) 中兴通讯E8810/E8820/E8822系列路由器存在MQTT拒绝服务漏洞,该漏洞源于设备没有对异常消息进行有效性验证。远程攻击者连接MQTT服务器,通过向指定设备发送MQTT异常消息,可引起设备拒绝服务。 CVE-2020-6882:6.8中危(AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N) 中兴通讯E8810/E8820/E8822系列路由器存在信息泄露漏洞,该漏洞源于设备硬编码了MQTT服务接入凭证。远程攻击者利用该凭证连接MQTT服务器,可通过发送特定主题获取其它设备的信息。 影响和修复 产品名称 | 受影响版本号 | 修复版本号 | ZXHN E8810 | E8810 V1.0.26、 E8810 V2.0.1 | 已退市 | ZXHN E8820 | E8820 V1.1.3、 E8820 V2.0.13 | 已退市 | ZXHN E8822 | E8822 V2.0.13 | E8822 V2.0.14 |
中兴通讯建议用户升级到最新版本,或选择较新的产品(ZXHN E500或ZXHN E1600)进行替换,以提高安全性。 致谢 中兴通讯感谢清华大学(网络研究院)-奇安信集团网络安全联合研究中心及安全研究人员徐绘凯(kverse)、于淼(re.about)向中兴通讯PSIRT提供安全问题报告。 更新记录 2020年12月17日,初始发布; 2021年7月2日,修改 影响和修复; 支持团队的联系方式 1. ZTE全球客户支持中心热线: 0755-26770800 800-830-1118 400-830-1118 2. 登录中兴通讯技术支持网站的产品论坛提交问题 中兴通讯PSIRT 如果您需要获取帮助、反馈中兴通讯产品的漏洞信息、获取中兴通讯公司产品安全事件响应服务及获取中兴通讯产品漏洞信息,请联系中兴通讯产品安全事件响应组(ZTE PSIRT):psirt@zte.com.cn,PGP Key ID:FF095577。
|