網路安全公司NewSkySecurity的首席研究員Ankit Anubhav發現，華為部分型號路由器存在一個安全漏洞。攻擊者可以利用這個漏洞，在不連線裝置的情況下，判定裝置是否使用的是預設憑證。

這個漏洞（CVE-2018-7900）位於路由器管理面板中，存在洩露路由器憑證資訊的風險。具體來說，攻擊者可以通過物聯網搜尋引擎（如ZoomEye或Shodan）來掃描使用預設密碼的華為路由器。

“CVE-2018-7900簡化了攻擊路由器的過程。攻擊者能輕易就能判定某臺路由器是否使用的是預設憑證，且無需連線到該路由器，也無需使用其他攻擊技術。由於存在這樣一個漏洞，通過路由器管理面板就能夠得到這些資訊。”Ankit Anubhav在其

Ankit Anubhav解釋說，受該漏洞影響的華為路由器的管理面板登入頁面HTML原始碼聲明瞭幾個變數，其中一個變數包含一個特定的值。通過分析這個值，就可以判定路由器是否使用的是預設憑證。

Ankit Anubhav還寫道：“CVE-2018-7900使得黑客攻擊這些裝置變得更加容易。首先，攻擊者不再需要通過掃描整個網際網路上來查詢易受攻擊的路由器。其次，攻擊者不再會經歷登入失敗，或者落入蜜罐中。最後，攻擊者只需要通過ZoomEye，就能夠很輕易地找到易受攻擊的路由器並進行登入，然後做任何想做的事。”

需要指出的是，華為目前已經修復了這個漏洞，但仍在與運營商合作，以求徹底解決這一問題。

Ankit Anubhav表示，NewSkySecurity目前不會透露有關該漏洞的具體細節，目的是避免其遭到大規模的利用。

對於該漏洞的披露時間表如下：

• 2018年9月26日：發現漏洞並通知華為。
• 2018年9月26日：華為確認收到郵件，並開始進行調查。
• 2018年10月1日：華為完成分析，並表示正在研究如何解決。
• 2018年11月6日：華為提供瞭解決方案，並表示仍在與運營商合作，以完善解決方案。
• 2018年12月5日：華為完成與運營商的溝通，並準備進行漏洞披露。
• 2018年12月19日：公開披露漏洞。