In einigen Produkten von Billion Electric, die in Industrieumgebungen, Fahrzeugen und an vielen anderen Orten eingesetzt werden, wurden laut Security Online schwerwiegende Sicherheitslücken gefunden. Die betroffenen 4G/LTE-Router enthalten insgesamt vier schwerwiegende Sicherheitslücken, für die der Hersteller inzwischen Patches erstellt hat. Es wird empfohlen, diese auf die Modelle M100, M150, M120N und M500 anzuwenden. Es ist höchst ungewöhnlich, dass eine Sicherheitslücke die höchste Punktzahl 10 auf der CVSS-Skala erreicht, die nur für die kritischsten und gefährlichsten Sicherheitslücken vergeben wird.
Die fragliche Sicherheitslücke mit der Nummer CVE-22024-11980 ist sehr schwerwiegend, da die fehlende Benutzerauthentifizierung es Angreifern ermöglicht, ohne Authentifizierung Zugriff auf bestimmte Teile des Routers, wie z. B. Gerätedaten, zu erlangen, aber auch die SSID des Wi-Fi-Netzwerks zu ändern oder das Gerät neu zu starten. Dies ist eine äußerst ungewöhnliche Sicherheitslücke, die nur sehr selten auftritt. Angreifer können sich auch relativ leicht Zugang zum Router verschaffen, auf Teile des Routers zugreifen und diese verändern, ohne sich zu identifizieren, und so eine Menge Unannehmlichkeiten verursachen.
Leider ist dies nicht die einzige Schwachstelle, denn die Sicherheitslücke CVE-2024-11981 kann dazu verwendet werden, die Benutzerauthentifizierung zu umgehen, so dass ein Angreifer auf beliebige Websites zugreifen kann. Diese Schwachstelle wurde auf der Liste mit 7,5 Punkten bewertet. Die nächste Schwachstelle ist CVE-2024-11982, die auf die Speicherung von Kennwörtern im Klartextformat zurückzuführen ist, aber glücklicherweise kann diese Schwachstelle nur mit Administratorzugriff ausgenutzt werden. Sie wird mit 7,2 Punkten bewertet. Die vierte Schwachstelle, die unter CVE-2024-11983 läuft, ermöglicht es entfernten Angreifern, Code einzuschleusen, durch den eine Reihe von Angriffsvektoren implementiert werden können, aber glücklicherweise benötigen sie dazu auch Administrator-Zugriff, was hoffentlich keine einfache Aufgabe für das Produkt dieses Herstellers ist. Diese Sicherheitslücke wurde auf der Bedrohungsskala mit 7,2 bewertet.
Glücklicherweise hat das Team von Billion Electric relativ schnell auf die Fehler reagiert und die gepatchte Firmware bereitgestellt. Glücklicherweise können die betroffenen Router weiterhin verwendet werden und sind nun sicher, im Gegensatz zu den zuvor erwähnten Routern und Netzwerkdatenspeichern von D-Link, für die der Hersteller keine Patches bereitstellt und die ersetzt werden müssen.
Die Schwachstelle in den Routern von Billion Electric wurde von dem Sicherheitsforscher Chiao-Lin Yu entdeckt, der erklärte, dass die Router von Billion Electric, die ein Firmware-Update erhalten haben, jetzt möglicherweise sicher sind.
