Baicells基站设备存在严重漏洞，可被用于破坏电信网络

编译：代码卫士

网络攻防研究员 Rustam Amin发现，Baicells 技术公司的无限通信基站中存在一个严重漏洞 (CVE-2023-24508)，可被用于破坏电信网络或者完全控制数据和语音流量。

【资料图】

Baicells 技术公司是一家位于美国的4G和5G网络通信设备提供商，声称超过10万个基站部署在全球64个国家。Amin 发现Baicell 公司的一些Nova 基站产品受一个严重的命令注入漏洞影响。攻击者可向目标设备发送特殊构造的HTTP请求，在无需认证的情况下远程利用该漏洞。

Amin指出，该漏洞可导致攻击者以root权限运行shell命令并完全控制设备。例如，攻击者可轻易关闭设备破坏网络。另外，攻击者可完全控制目标设备中的流量和通话。黑客可获取多种信息如电话号码、IMEI和位置数据。

然而，发动该攻击并非易事，要求具有与目标网络相关的特定知识。Amin 表示，超过1150台设备暴露在互联网中，其中多数位于美国。

Baicells 公司在1月24日发布安全公告告知客户漏洞相关情况。Amin 提到该厂商迅速响应其漏洞报告并快速发布补丁。Nova 版本227、233、243和266受影响。漏洞已在新版本3.7.11.3中修复。

虽然厂商在公告中提到仅有Nova 产品受影响，但Amin 认为其它产品也有可能受影响。

美国网络安全和基础设施安全局 (CISA) 上周发布安全公告，提醒组织机构注意该漏洞。Amin近期还在Econolite EOS 流量控制软件中发现了多个严重漏洞，这些漏洞可用于控制红绿灯。

原文链接

https://www.securityweek.com/critical-baicells-device-vulnerability-can-expose-telecoms-networks-to-snooping/

标签： 电信网络 技术公司 网络通信