当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-034201

漏洞标题:大量政府站未修改某防火墙默认密码可登陆控制(已控制数十台设备)

相关厂商:cncert

漏洞作者: D&G

提交时间:2013-08-12 22:47

修复时间:2013-09-26 22:47

公开时间:2013-09-26 22:47

漏洞类型:服务弱口令

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-08-12: 细节已通知厂商并且等待厂商处理中
2013-08-16: 厂商已经确认,细节仅向厂商公开
2013-08-26: 细节向核心白帽子及相关领域专家公开
2013-09-05: 细节向普通白帽子公开
2013-09-15: 细节向实习白帽子公开
2013-09-26: 细节向公众公开

简要描述:

天融信的客户都是各种gov啊。其实,这是一个谷歌控暴力狂和天才超人的故事。

详细说明:

intitle:topsec tos web user interface
大概400多个搜索结果。绝大部分都是天融信的防火墙。
本来想暴力破解来着,试了下,web和telnet都防护。尝试几次就锁定了。可是
改一下默认密码有那么难么!本来安全只有4分的话,装了个防火墙瞬间到零了。。。
天融信默认密码其中一个:superman talent。只使用这个密码成功登录的列表 如下:共58台。

yhztb.cn
skdfz.com
ywczjgw.com
www.landks.com
sunong.cn
ta-police.com
czrcw.com
scanju.gov.cn
lyghb.gov.cn
dyyz.net
glgt.gov.cn
boxing.gov.cn
zjykrc.com
zjtzgtj.gov.cn
jys.gov.cn
hnhx.gov.cn
tjqnzyxy.cn
xtxfc.cn
chengde.gov.cn
sp.gov.cn
lcpf.cn
fzda.gov.cn
gaoglish.cn
nbzw.gov.cn
mulan.gov.cn
nbxmsyj.com
www.zjhnztb.com
hnwwj.com
tzgt.gov.cn
czwujia.gov.cn
jiedaiwang.cn
tez.gov.cn
zghzbwg.com
cagjj.cn
hhhtds.gov.cn
digitalwuhan.gov.cn
80801890.com
cqhcjy.com
www.haas.org.cn
zjqhdm.gov.cn
tcytcz.gov.cn
xjqh.gov.cn
gsryd.cn
xianan.gov.cn
jxtjjs.cn
hxcjdb.com
gxlzfda.gov.cn
jhfc.gov.cn
ywfy.cn
jxhxjd.cn
gxlzfda.gov.cn
jhfc.gov.cn
ywfy.cn
jxhxjd.cn
gxlzfda.gov.cn
jhfc.gov.cn
ywfy.cn
jxhxjd.cn

漏洞证明:

tianrongxin1.png

修复方案:

天融信有那么优秀的团队。为什么实施的时候就这么对客户呢。

版权声明:转载请注明来源 D&G@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-08-16 23:25

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT协调天融信公司,由其通知相关用户进行处置。根据评估,由于较老的版本在安全提示(强制修改密码)上还存在缺陷,天融信已经在后续的新版本中改进。此次已经全力通知用户修改默认配置。
rank 20

最新状态:

暂无

漏洞评价:

评论

  1. 2013-08-12 22:58 | 78基佬 ( 实习白帽子 | Rank:84 漏洞数:20 | 不会日站的设计师不是好产品经理)

    你不知道最近严打?

  2. 2013-08-12 23:18 | 淡漠天空 认证白帽子 ( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)

    你不知道最近严打?

  3. 2013-08-12 23:20 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    听说最近严打。。。。。

  4. 2013-08-12 23:23 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    你不知道最近严打?

  5. 2013-08-12 23:38 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

    你不知道最近严打?

  6. 2013-08-12 23:43 | choit ( 路人 | Rank:5 漏洞数:1 | 你懂的)

    你不知道最近严打?

  7. 2013-08-12 23:47 | 光的圆周率 ( 路人 | Rank:11 漏洞数:1 | (<ゝω·)☆~Kira)

    你不知道最近严打?

  8. 2013-08-13 03:59 | 邪少 ( 实习白帽子 | Rank:58 漏洞数:7 )

    你不知道最近严打?ss

  9. 2013-08-13 05:57 | B1acken ( 普通白帽子 | Rank:174 漏洞数:56 | 渣渣)

    你不知道最近严打?

  10. 2013-08-13 06:52 | 啦绯哥 ( 普通白帽子 | Rank:107 漏洞数:20 )

    你不知道最近严打?

  11. 2013-08-13 07:35 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    你不知道最近严打?

  12. 2013-08-13 08:06 | 牛£金钢 ( 路人 | Rank:12 漏洞数:4 | 我是新手,还需要学习,大神们要指点下了.....)

    你不知道最近严打?

  13. 2013-08-13 08:10 | 9k九块钱 ( 路人 | Rank:8 漏洞数:11 | ส็็็็็็็็็็็็็็็็็็็...)

    你不知道最近严打?

  14. 2013-08-13 08:28 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    你不知道最近严打?

  15. 2013-08-13 10:05 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    你不知道最近严打?

  16. 2013-08-13 11:39 | dtc ( 路人 | Rank:10 漏洞数:1 | 业余技术爱好者,来乌云学习。)

    你不知道最近严打?

  17. 2013-08-13 12:28 | tenzy ( 普通白帽子 | Rank:176 漏洞数:21 | Need not to know)

    你不知道最近严打?

  18. 2013-08-13 12:55 | Lmz ( 路人 | Rank:24 漏洞数:3 | http://...)

    你不知道最近严打?

  19. 2013-08-13 13:29 | 噬魂 ( 普通白帽子 | Rank:141 漏洞数:37 | 08安全团队)

    你不知道最近严打?

  20. 2013-08-13 16:07 | woody ( 路人 | Rank:8 漏洞数:1 | 菜鸟一枚)

    你不知道最近严打?

  21. 2013-08-13 16:21 | 冰比冰水冰 ( 路人 | Rank:8 漏洞数:3 | 风吹裤裆蛋蛋凉)

    你不知道最近严打?

  22. 2013-08-13 16:52 | IT8090 ( 路人 | Rank:0 漏洞数:1 | 专注技术与网络安全!)

    你不知道最近严打?

  23. 2013-08-13 17:29 | 飞段 ( 路人 | Rank:4 漏洞数:15 | 求收编,本人会注入,会上传,会Xss,会破...)

    你不知道最近严打?

  24. 2013-08-15 10:10 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    你不知道最近严打?

  25. 2013-08-17 00:26 | solar-fly ( 路人 | Rank:17 漏洞数:3 | I am fly , so I can fly !)

    你不知道最近严打?

  26. 2013-08-17 07:17 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    看来你真不知道最近严打!

  27. 2013-08-17 10:05 | Anon-sl ( 路人 | Rank:0 漏洞数:1 | .....)

    洞注估计被打了!

  28. 2013-08-17 12:32 | safe121 ( 实习白帽子 | Rank:98 漏洞数:11 | http://www.gov.cn)

    你不知道最近严打?查水表的节奏

  29. 2013-08-17 19:09 | sky ( 实习白帽子 | Rank:94 漏洞数:33 | 有一天,我带着儿子@jeary 去@园长 的园长...)

    你不知道最近严打?

  30. 2013-08-17 20:50 | 撸王之王撸断肠 ( 路人 | Rank:2 漏洞数:2 | 撸不动了)

    你不知道最近严打?要死的节奏

  31. 2013-08-23 13:21 | 二叉树 ( 路人 | Rank:0 漏洞数:3 | 终于有账号了)

    你不知道最近严打?作死的节奏

  32. 2013-09-16 19:56 | Anymous ( 普通白帽子 | Rank:124 漏洞数:28 )

    你不知道最近严打?垂死的节奏

  33. 2013-09-27 07:01 | 忆闪而过 ( 路人 | Rank:26 漏洞数:6 | 寂寞在唱歌)

    你不知道最近严打?想死的节奏

  34. 2013-09-27 09:38 | TituX ( 路人 | Rank:19 漏洞数:3 | <script></script>)

    洞主不要想着弄个大新闻,就把我d的合作伙伴批判一番,naive

  35. 2013-09-27 09:55 | ziwen ( 实习白帽子 | Rank:49 漏洞数:4 | 活着为了乐还是为了苦?)

    gov 0day么

  36. 2013-09-27 10:50 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    @TituX 从来不敢批判谁。只是揭露真相而已

  37. 2013-09-27 15:42 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

    你不知道最近严打