中国电信某设备存在通用口令 | wooyun-2014-064592| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-064592

漏洞标题：中国电信某设备存在通用口令

漏洞作者：路人甲

提交时间：2014-06-12 14:31

修复时间：2014-09-10 14:32

公开时间：2014-09-10 14:32

漏洞类型：设计不当

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-06-12：细节已通知厂商并且等待厂商处理中
2014-06-16：厂商已经确认，细节仅向厂商公开
2014-06-19：细节向第三方安全合作伙伴开放
2014-08-10：细节向核心白帽子及相关领域专家公开
2014-08-20：细节向普通白帽子公开
2014-08-30：细节向实习白帽子公开
2014-09-10：细节向公众公开

简要描述：

中国电信某设备存在通用口令

详细说明：

存在通用用户名和密码的设备为：中国电信商务领航定制网关2-1（还有一款设备叫天翼宽带政企网关B2-1P，也是这个两组密码），两组通用密码是：
1、帐号：telecomadmin
密码：nE7jA%5m
2、
帐号：useradmin
密码：admin!@#$%^
已知一下ip使用该设备，可通过浏览器直接访问，请乌云在漏洞确认后予以模糊处理：
58.32.189.97
58.32.191.17
58.32.228.57
58.32.237.102
58.32.242.17
58.34.241.161
58.35.120.49
58.39.57.41
58.39.75.36
58.39.215.157
漏洞证明：

入侵者可以开启设备的vpn，然后进入内网。

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：17

确认时间：2014-06-16 23:07

厂商回复：

CNVD确认并复现所述多个实例情况，已经转由CNCERT通报给中国电信集团公司处置。按多个实例综合评分，rank 17

漏洞评价：

2014-06-12 14:42 | 小杨 ( 路人 | Rank:22 漏洞数:4 | 。)

mark
2014-06-12 14:43 | cncert国家互联网应急中心(乌云厂商)

重要，下午重点处置。
2014-06-12 14:45 | 魇 ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子，但是除了他华...)

。。。 cncert竟然说这么重要我也关注一个
2014-06-12 14:52 | xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

@cncert国家互联网应急中心重要你不加个精华？
2014-06-12 14:59 | cncert国家互联网应急中心(乌云厂商)

@xsser 算不上精华吧。默认口令，如果是逆向得到的，可以加精。
2014-07-07 15:40 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

这个默认口令网上已经公开过了的。以前他们还不告诉你，自己都无法配置，尼玛的。还要自己去查
2014-07-07 15:40 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

@cncert国家互联网应急中心 @xsser 网上公开的了，电信用来处理的默认口令了。应该不是洞主第一个发现了的
2014-09-10 14:50 | Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号，不装逼了，再见孩子们。by Mosua...)

@wefgod 匿名可以隐蔽自己，你懂的。。。
2014-09-10 14:52 | cookie ( 路人 | Rank:4 漏洞数:4 | 前面是我老大……)

这密码都能找到！
2014-09-10 15:04 | S4M ( 路人 | Rank:20 漏洞数:8 | 吴彦祖)

我家路由也是这个密码。。。
2014-09-10 17:04 | 老慢 ( 路人 | Rank:0 漏洞数:2 | 人老手慢)

这个洞修复的好像不太彻底，大家还可以再捅捅，再一次rank。
2014-09-10 17:47 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安，不只保险这么简单。)

说好的模糊处理呢。。。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-064592

漏洞标题：中国电信某设备存在通用口令

相关厂商：中国电信

漏洞作者：路人甲

提交时间：2014-06-12 14:31

修复时间：2014-09-10 14:32

公开时间：2014-09-10 14:32

漏洞类型：设计不当

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-064592

漏洞标题：中国电信某设备存在通用口令

相关厂商：中国电信

漏洞作者： 路人甲

提交时间：2014-06-12 14:31

修复时间：2014-09-10 14:32

公开时间：2014-09-10 14:32

漏洞类型：设计不当

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-064592"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云