网络安全公司NewSkySecurity的首席研究员Ankit Anubhav发现华为部分型号华为路由器型号存在一个安全漏洞。攻击者可以利用这个漏洞在不连接设备的情况下，判定设备是否使用的是默认凭证
这个漏洞（CVE-）位于华为路由器型号管理面板中，存在泄露华为路由器型号凭证信息的风险具体来说，攻击者可以通过物联网搜索引擎（如ZoomEye或Shodan）来扫描使用默认密码的华为华为路由器型号
“CVE-简化了攻击华为路由器型号的过程。攻击者能轻易就能判定某台华为路由器型号昰否使用的是默认凭证且无需连接到该华为路由器型号，也无需使用其他攻击技术由于存在这样一个漏洞，通过华为路由器型号管理媔板就能够得到这些信息”Ankit Anubhav在其博文中写道，“为此攻击者只需要编写一个ZoomEye/Shodan查询模板，就可以隐秘地获取到使用默认凭证的设备列表”
Ankit Anubhav解释说，受该漏洞影响的华为华为路由器型号的管理面板登录页面HTML源代码声明了几个变量其中一个变量包含一个特定的值。通过分析这个值就可以判定华为路由器型号是否使用的是默认凭证。
Ankit Anubhav还写道：“CVE-使得黑客攻击这些设备变得更加容易首先，攻击者不再需要通过扫描整个互联网上来查找易受攻击的华为路由器型号其次，攻击者不再会经历登录失败或者落入蜜罐中。最后攻击者只需要通過ZoomEye，就能够很轻易地找到易受攻击的华为路由器型号并进行登录然后做任何想做的事。”
需要指出的是华为目前已经修复了这个漏洞，但仍在与运营商合作以求彻底解决这一问题。
Ankit Anubhav表示NewSkySecurity目前不会透露有关该漏洞的具体细节，目的是避免其遭到大规模的利用
对于该漏洞的披露时间表如下：
2018年9月26日：发现漏洞并通知华为。
2018年9月26日：华为确认收到邮件并开始进行调查。
2018年10月1日：华为完成分析并表示囸在研究如何解决。
2018年11月6日：华为提供了解决方案并表示仍在与运营商合作，以完善解决方案
2018年12月5日：华为完成与运营商的沟通，并准备进行漏洞披露
2018年12月19日：公开披露漏洞。