当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-024405

漏洞标题:飞鱼星上网行为管理设计不当存在权限许可和访问控制的漏洞

相关厂商:飞鱼星上网行为管理

漏洞作者: 0x334

提交时间:2013-05-24 14:08

修复时间:2013-08-22 14:09

公开时间:2013-08-22 14:09

漏洞类型:设计不当

危害等级:低

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-05-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-08-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

飞鱼星上网行为管理设计不当存在权限许可和访问控制的漏洞,可被利用渗透内网

详细说明:

飞鱼星上网行为管理设计不当存在权限许可和访问控制的漏洞,可被利用渗透内网
飞鱼星VE系列(VOLANS Enterprise Series)上网行为管理路由器,专为中小企业、政府机关、教育及科研机构等用户设计,是具备“ 上网行为管理”、“多WAN路由器”以及“VPN网关”多重功能的新一代硬件网络接入设备。
可以获得一个互联网IP地址;但是默认开启了远程80端口访问,也就是说可以通过互联网访问该设备,而默认帐号密码为 admin admin,普通用户在使用过程中未进行口令修改,导致外部互联网恶意攻击者可以通过远程访问并登陆,通过搭建vpn,对内网进行渗透,严重影响企业安全。

0.jpg


1.jpg


2.jpg


3.jpg


4.jpg


5.jpg


6.jpg


7.jpg


8.jpg

漏洞证明:

如上

修复方案:

修改默认帐号密码

版权声明:转载请注明来源 0x334@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2013-05-24 14:44 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    不会也是默认口令的问题吧?

  2. 2013-05-24 20:12 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1425 漏洞数:182 | 没有最专业的农民,只有更努力地耕耘..........)

    @xsser 是不是,你会看不到吗?

  3. 2013-05-24 20:25 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @专业种田 我只有周一才看得到

  4. 2013-06-19 15:39 | HDs ( 路人 | Rank:9 漏洞数:5 | 主要以订制研发硬件防火墙,及入侵检查系统...)

    我发现个更好玩的问题!

  5. 2013-06-19 15:41 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @HDs ?

  6. 2013-07-16 15:29 | softbug ( 实习白帽子 | Rank:66 漏洞数:10 | 为人类设计最好的软件,解放人的双手,一起...)

    飞鱼星一点都不专业,我司买的上网行为管理设备,真的垃圾透顶了

  7. 2013-07-23 18:31 | 西门吹牛 ( 实习白帽子 | Rank:48 漏洞数:5 | 吹牛啊吹牛)

    都两个月了,厂商懒的理你们...

  8. 2013-07-26 12:34 | HDs ( 路人 | Rank:9 漏洞数:5 | 主要以订制研发硬件防火墙,及入侵检查系统...)

    @xsser 各种坑爹!好多权限不严格,过滤包不严格,管控基本无效,温度高了还会没法使用无线

  9. 2013-07-29 14:29 | softbug ( 实习白帽子 | Rank:66 漏洞数:10 | 为人类设计最好的软件,解放人的双手,一起...)

    厂商本身就是做设备的,不是做安全的,oK?

  10. 2015-08-22 10:00 | godisagirl ( 路人 | Rank:2 漏洞数:1 | 突破规则!)

    飞鱼星有个泄露账号密码的htpasswd的问题,但是不知道密码是什么加密的,不是MD5,大家密文可以看到,无法解密,有可以解密的吗