„Bloomberg“ leidimas, praėjusiais metais
apie nepatvirtintą šnipinėjimo lustą Supermicro plokštėse, apie „Huawei“ įrangos užpakalinių durų atpažinimą. Tačiau problemą identifikavusi „Vodafone“ ją vadina pažeidžiamumu, o „Bloomberg“ perdeda. Matyt, užpakalinės durys nebuvo tyčinės užpakalinės durys, pridėtos piktavališkais ir šnipinėjimo tikslais, o palikus inžinerinį prieigos tašką, kuris buvo pamirštas išjungti galutinėje gaminio versijoje dėl apsirikimo arba siekiant supaprastinti diagnostiką. palaikymo tarnyba.
Problemą „Vodafone“ nustatė dar 2011 m., o „Huawei“ ją ištaisė, kai buvo pranešta apie pažeidžiamumą. Užpakalinių durų esmė yra galimybė pasiekti įrenginį per įmontuotą Telnet serverį. Išsami informacija apie prisijungimo organizaciją nepateikiama; neaišku, ar prieiga buvo suaktyvinta naudojant iš anksto nustatytą inžinerinį slaptažodį, ar telnet serveris buvo paleistas įvykus tam tikram įvykiui (pavyzdžiui, kai buvo išsiųsta tam tikra tinklo paketų seka). Pažymėtina, kad pastaraisiais metais įrangoje taip pat buvo aptiktos panašios „galinės durys“, leidžiančios prisijungti per telnet , , , и .
Ištaisę problemą, „Vodafone“ inžinieriai pastebėjo, kad galimybė prisijungti nuotoliniu būdu nebuvo visiškai pašalinta ir telnet serveris vis tiek gali būti paleistas (neaišku, ką reiškia atsisakymas visiškai pašalinti telnet serverį iš programinės aparatinės įrangos ar galimybės palikti galimybę pradėti jį tam tikromis sąlygomis). „Huawei“ pakomentavo galimybę prisijungti per „telnet“ su gamybos reikalavimais – ši paslauga naudojama įrenginių testavimui ir pradinei konfigūracijai. Tuo pačiu metu „Huawei“ įdiegė galimybę išjungti paslaugą baigus šį etapą, tačiau pats „telnet“ paslaugos kodas nebuvo pašalintas iš programinės įrangos.
Šaltinis: opennet.ru