Huawei’ning g‘alati zaifliklarni tuzatish amaliyoti routerlarni xavf ostiga qo‘ymoqda
2014-yilda kompaniya HG523a va HG533 modellaridagi xatoni tuzatdi va bir necha yil o’tgach, xuddi shunday zaiflik HG532 modelida ham aniqlandi.
2013-yilda taniqli internet-provayder jamoasi Xitoy uskunalarini ishlab chiqaruvchi Huawei kompaniyasini o’zining bir qator HG seriyali uy routerlaridagi muhim zaiflik haqida ogohlantirdi. Bir yil o’tgach, kompaniya HG523a va HG533 modellaridagi zaiflikni tuzatdi, ammo ba’zi sabablarga ko’ra, xuddi shu zaif dasturiy ta’minotdan foydalangan liniyadagi boshqa qurilmalarda muammoni hal qila olmadi. Natijada, yillar o’tib, yamalmagan routerlar Mirai botnetining bir variantiga kiritildi, deb xabar beradi The Register anonim manbalarga tayanib. Muammo dasturiy ta’minotdagi UpnP komponenti bilan bog’liq va bir manbaga ko’ra, kodni masofadan bajarishga imkon beradi va osongina foydalaniladi. Keyingi yillarda bir nechta turli xavfsizlik tadqiqotchilari ushbu zaiflikni bir nechta modellarda mustaqil ravishda aniqladilar. Masalan, 2017-yilda Check Point mutaxassislari HG532 qurilmalarida shunga o’xshash muammo (CVE-2017-17215) aniqlangani haqida xabar berishdi. Tadqiqotchilarning ogohlantirishidan so’ng, Huawei tegishli yamoqni chiqardi. The Register nashri ta’kidlaganidek, ishlab chiqaruvchi muammolarni yuzaga kelishi bilan hal qilishni afzal ko’radi, yangilanishlarni faqat boshqa birov tomonidan zaiflik aniqlangandan keyingina chiqaradi.
«2013 va 2017 yillar oralig’ida zaiflik hujumchilar tomonidan aniqlangan, ular undan marshrutizatorlarni o’g’irlash uchun foydalangan va keyinchalik ular Mirai botnetiga kiritilgan», deb ta’kidlaydi manba. Masalan, o’tgan yozda HG532 modeli 18 000 ta qurilmadan iborat botnetda topilgan.
Zaiflik HG523a, HG532e, HG532S va HG533 modellariga ta’sir qiladi. Internet-provayder xodimlari va Check Point mutaxassislari muammoni turlicha ta’riflasalar-da, manbalar ular bir xil xato bilan ishlayotganini da’vo qilmoqdalar. Turli xil ekspluatatsiya usullariga qaramay, yakuniy natija bir xil: tajovuzkor routerdagi UpnP xizmatiga yuborilgan URL manziliga shell buyruqlarini kiritishi va ularni root imtiyozlari bilan bajarishi mumkin. Tushuntirilganidek, URL manzillari xavfsizlik yangilanishlarini qayta ishlash uchun mas’ul bo’lgan dasturni ishga tushirishni boshlash uchun to’g’ridan-to’g’ri buyruq satrida ishlatiladi. Hech qanday tekshiruvlar o’tkazilmaydi. Shuning uchun, URL manziliga buyruqlarni kiritish yangilanish tizimi ishga tushganda ularning bajarilishini ta’minlaydi.
Nashrga berilgan izohda Huawei vakillari 2014 va 2017 yillarda yuqorida aytib o’tilgan modellardagi zaifliklarni tuzatuvchi yangilanishlarni chiqarganliklarini aytishdi, ammo kompaniya nima uchun zaiflik 2014 yilda faqat ba’zi routerlarda tuzatilganini va zaif dasturiy ta’minotga ega barcha modellarda emasligini tushuntirmadi.
