Des chercheurs en sécurité ont découvert une vulnérabilité d’exécution de code dans l’un des Clés USB LTE.
Partie de celui de Huawei gamme de dongles haut débit mobile, la clé USB Huawei LTE E3372 peut être branchée sur un ordinateur pour permettre aux utilisateurs de naviguer sur Internet à l’aide d’un réseau LTE.
pourtant la cyber-sécurité La société Trustwave a découvert une vulnérabilité assez facile à exploiter dans l’appareil. Dans un article de blog, le responsable de la recherche en sécurité de Trustwave, Martin Rakhmanov, explique que la vulnérabilité existe car l’un des fichiers installés ne dispose pas des paramètres de contrôle d’accès appropriés.
Nous examinons comment nos lecteurs utilisent VPN pour un prochain rapport approfondi. Nous aimerions entendre votre opinion dans le sondage ci-dessous. Cela ne prendra pas plus de 60 secondes de votre temps.
>> Cliquez ici pour lancer le sondage dans une nouvelle fenêtre<
« Tout ce qu’un utilisateur malveillant doit faire est de remplacer le fichier par le code de son choix et d’attendre qu’un utilisateur légitime commence à utiliser le service de données cellulaires via l’appareil Huawei », écrit Rakhmanov.
Sommaire
Frapper à la mauvaise porte
Selon Trustwave, ce fichier affecté est automatiquement exécuté lorsqu’un utilisateur branche le dongle. Il est conçu pour lancer le navigateur Web par défaut et le diriger vers l’interface de gestion de périphérique du dongle.
Cependant, Huawei n’a pas défini les autorisations appropriées sur le fichier. Cela permet à tout utilisateur authentifié sur l’ordinateur d’écraser le fichier.
Rakhmanov explique que tout ce qu’un utilisateur malveillant doit faire est de remplacer le contenu du fichier par son propre code malveillant. Désormais, lorsqu’un utilisateur branche le dongle, il exécute automatiquement le code malveillant.
Trustwave a dit Le registre qu’il essaie d’attirer l’attention de Huawei sur le problème depuis plusieurs mois sans faire de progrès. Il s’avère qu’ils ont signalé le problème à la mauvaise adresse.
Dans tous les cas, une fois informé via les canaux appropriés, Huawei a rapidement publié un correctif pour corriger les autorisations sur le fichier.
Passant par Le registre
