Banyak Kerentanan di Router Tua Huawei 3G Tidak Akan Ditambal

Huawei tidak berencana untuk menambal lebih dari selusin model router 3G yang memiliki kerentanan perangkat lunak yang parah, meskipun pengguna beresiko perangkat tidak didukung lagi oleh Huawei. Kerentanan ini dapat memungkinkan penyerang untuk mengubah pengaturan DNS (Domain Name System), mengunggah firmware baru tanpa harus login ke perangkat dan melakukan serangan denial of service.

Model router yang terkena dampak didistribusikan oleh ISP di 21 negara, sekarang dianggap sudah tidak masuk lagi dalam siklus dukungan Huawei, kata Pierre Kim, seorang peneliti keamanan yang menemukan kerentanan. Kerentanan router dapat digunakan oleh penyerang untuk mengubah rute lalu lintas situs ke situs palsu, memantau aktivitas web browsing dan melakukan tindakan ilegal lainnya.

Penelitian Kim difokuskan pada Huawei Model B260a yang didistribusikan pada satu waktu oleh Tunisia Telecom. Firmware yang sama digunakan di lebih dari selusin model router lainnya, kata Kim. Firmware yang dianilisa oleh Kim terakhir diperbarui pada 20 Februari 2013. Kim menemukan bahwa B260a juga menyimpan nama administrator password yang tidak dienkripsi di dalam cookie, yang dapat dibaca oleh penyerang. Dia juga menemukan kemungkinan untuk mendapatkan password router Wi-Fi tanpa otentikasi. Singkatnya, router “overall badly designed with a lot of vulnerabilities,” tulisnya.

Huawei telah diberitahu mengenai isu ini pada bulan Agustus dan cepat merespon, namun mengatakan tidak berencana untuk mendistribusikan patch. Bahkan jika Huawei ingin menambal, hal itu akan sulit karena ISP mendistribusikan firmware untuk router. Huawei tidak menawarkan salinan firmware itu di situsnya. “Ini sebabnya memperbarui jenis perangkat sangat sulit,” katanya.

Kim mengatakan router didistribusikan di Argentian, Argentina, Armenia, Austria, Brazil, Chili, Kroasia, Denmark, Ekuador, Estonia, Jerman, Guatemala, Jamaika, Kenya, Mali, Meksiko, Niger, Portugal, Rumania, Slovakia, Swedia dan Tunisia. Semua model yang terkena menyediakan layanan internet melalui kartu SIM, yang dimasukkan ke dalam perangkat, membuatnya ideal untuk tempat yang tidak memilki konektivitas kabel.

Huawei mungkin memiliki insentif ekonomi kecil untuk memperbarui router yang lebih tua karena telah membawa model baru ke pasar, kata Kim. “Saya benar-benar berpikir Huawei akan merilis patch keamanan, dan saya pikir mereka harus menambal router ini,” katanya. “Sekarang, aku sadar kita hidup di dunia kapitalis. Mereka tidak akan mendapatkan uang dengan menambal perangkat ‘tua’.” Pejabat Huawei tidak bisa segera dihubungi untuk memberikan komentar.

(networkworld)

You may also like...