Verizon Wireless Network Extender存在多个本地权限提升漏洞(CNVD-2013-10005)
CVE编号
N/A利用情况
暂无补丁情况
N/A披露时间
2013-07-19漏洞描述
Verizon Wireless Network Extender是一个低功率蜂窝基站,并可使用Internet连接提供网络服务。Verizon Wireless Network Extender存在多个安全漏洞,可提升权限或克隆其他用户手机。Verizon Wireless Network Extender models SCS-26UC4设备可利用Uboot delay功能获得控制台的访问,利用特殊的控制台线连接设备,提交特殊命令序列可获得root shell。Verizon Wireless Network Extender models SCS-2U01设备存在安全漏洞,使用SysReq(System Request)中断可获得控制台的访问,获取root shell。此外Network Extender没有使用Cellular Authentication and Voice Encryption (CAVE)验证,针对移动手机的验证,设备仅使用ESN和MIN,这些号码可物理访问手机或嗅探传送给Network Extender的注册报文获取,组合root访问缺陷和不正确的验证,可在Network Extender上运行定制代码后去任意手机的ESN和MIN,利用这些号码,无需物理访问即可克隆手机。本地攻击者利用漏洞提升权限,克隆手机。解决建议
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.samsung.com
参考链接 |
|
|---|---|
| https://www.cnvd.org.cn/flaw/show/CNVD-2013-10005 |
- 攻击路径 本地
- 攻击复杂度 高
- 权限要求 无
- 影响范围 N/A
- 用户交互 N/A
- 可用性 完全地
- 保密性 完全地
- 完整性 完全地
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论