聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
网络攻防研究员 Rustam Amin发现,Baicells 技术公司的无限通信基站中存在一个严重漏洞 (CVE-2023-24508),可被用于破坏电信网络或者完全控制数据和语音流量。
Baicells 技术公司是一家位于美国的4G和5G网络通信设备提供商,声称超过10万个基站部署在全球64个国家。Amin 发现Baicell 公司的一些Nova 基站产品受一个严重的命令注入漏洞影响。攻击者可向目标设备发送特殊构造的HTTP请求,在无需认证的情况下远程利用该漏洞。
Amin指出,该漏洞可导致攻击者以root权限运行shell命令并完全控制设备。例如,攻击者可轻易关闭设备破坏网络。另外,攻击者可完全控制目标设备中的流量和通话。黑客可获取多种信息如电话号码、IMEI和位置数据。
然而,发动该攻击并非易事,要求具有与目标网络相关的特定知识。Amin 表示,超过1150台设备暴露在互联网中,其中多数位于美国。
Baicells 公司在1月24日发布安全公告告知客户漏洞相关情况。Amin 提到该厂商迅速响应其漏洞报告并快速发布补丁。Nova 版本227、233、243和266受影响。漏洞已在新版本3.7.11.3中修复。
虽然厂商在公告中提到仅有Nova 产品受影响,但Amin 认为其它产品也有可能受影响。
美国网络安全和基础设施安全局 (CISA) 上周发布安全公告,提醒组织机构注意该漏洞。Amin近期还在Econolite EOS 流量控制软件中发现了多个严重漏洞,这些漏洞可用于控制红绿灯。
https://www.securityweek.com/critical-baicells-device-vulnerability-can-expose-telecoms-networks-to-snooping/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):Baicells 设备中存在严重漏洞,可用于破坏电信网络
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论