当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-072483

漏洞标题:对广东广电网络“U互动”服务及其附属硬件设备的一次APT纪实(论数字电视安全性)

相关厂商:广东省广播电视网络股份有限公司

漏洞作者: 路人甲

提交时间:2014-10-20 10:27

修复时间:2014-12-04 10:28

公开时间:2014-12-04 10:28

漏洞类型:网络未授权访问

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(广东省信息安全测评中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-20: 细节已通知厂商并且等待厂商处理中
2014-10-20: 厂商已经确认,细节仅向厂商公开
2014-10-30: 细节向核心白帽子及相关领域专家公开
2014-11-09: 细节向普通白帽子公开
2014-11-19: 细节向实习白帽子公开
2014-12-04: 细节向公众公开

简要描述:

首先先介绍一下这个“U互动”吧(摘自官网):
“U互动”是广东省广播电视网络股份有限公司推出的高清互动电视业务品牌。高清互动电视是通过有线数字电视双向网络,基于高清互动机顶盒,为用户提供高清晰度数字节目的视频内容和综合信息服务平台,能实现互动点播(VOD)、精彩回放、电视银行、电视教育、互动游戏等多种交互业务。 “U互动”定位是打造“家庭媒体中心”。在兼容数字电视所有服务的基础上,“U互动”增加了电视节目时移、回放功能、互联网应用等新服务、新功能,还提供数千小时的高清、标清点播服务,以及在线交易,资讯信息、游戏娱乐等增值业务,使用户家里的电视机变成一个多媒体中心,将带给广大电视用户舒适的全新的休闲娱乐体验感受。
接下来,我们来看看这套服务中存在哪些隐患。
(申明:本次未对任何文件作任何破坏,谢绝各种查水表,手表,鼠标,ect.)

详细说明:

2. 这个服务是基于一个大的局域网下的,每个用户通过一个智能机顶盒接受该服务。而“智能”,说白了就是多了一根网线,而这根网线的数据经一个设备处理后,又传回有线电视信号线。上图:

IMG_2922.JPG


而网线的增加,就表明其需要加强网络安全方面的意识了。

IMG_2923.JPG


其实本来其对其服务及网络设施都保护的很好的——至少我对这两个IP段(10.168.x.x,172.24.xx.)的扫描都一无所获,但遗憾的是,他被队友卖了——在广东广电的网站上有一个直播页面,上书“只对内部用户开放”。于是我看了下源代码:

15101818f89a7d4d3f8d96d400d67441deea56f1.png


172*.*.68?于是我机智的在上述的“内部网络”中键入了这个IP:

151019122341263366eee1b1bf1bb0c9bd3c438e.png


.action,存在str2漏洞:getshell

15101941222edd081be87b17d644b4af959e96df.png


注意那个poster3.png,在这个站点看所有视频,直播时都会调用这个图片:

151020171f9aba19f9cfcb335f0824da11b5fed5.png


151020360f7b4da2b9739510da5bb2b6c2691a19.png


然后,两个应该是用作负载均衡的ip:
http://172*.*.72/IndexAction.action?osType=other&logoutRes=
http://172*.*.73/IndexAction.action?osType=other&logoutRes=
存在同样的问题。
难得来一次,不能白来,于是我对172.16.x.x段进行了一次检测。结果还是有点触目惊心的。如果别有用心的人接入了这个网络,那对这个网络带来点灾难绝对不成问题。
(1.)交换机弱口令:
本次共发现10台带弱口令的交换机,其23端口均开放,可远程登录。地址:
172*.*.40 (admin huawei)
172*.*.45-47 (root admin)
172*.*.225 (root)
172*.*.193 (admin)
172*.*.161 (admin)
172*.*.129 (admin)
172*.*.164 (admin zhongxing)
172*.*.165 (admin zhongxing)
172*.*.101 (root password)

8.png


9.png


10.png


(2.)电视节目时移、回放内容管理设备和节目录制设备均无密码保护,可远程访问,关闭,替换。(连接中带“4Balance”的为管理设备,带“Muse”的为录制设备)
http://172*.*.23/4Balancer/
http://172*.*.25/4Balancer/

15102305e13a21bcbbd1648d152f323dcf81bed6.png


151023187eccddb949c0fa02c88f358b46d92372.png


151023323622ec7f03d01454f58a575bfac763aa.png


15102349c56f8f79ac3cefc2972bfdeeb84687b0.png


http://172*.*.41/Muse/
http://172*.*.42/Muse/
http://172*.*.43/Muse/
http://172*.*.44/Muse/
http://172*.*.50/Muse/
http://172*.*.62/Muse/
http://172*.*.56/Muse/
http://172*.*.32/Muse/
http://172*.*.38/Muse/
http://172*.*.44/Muse/
http://172*.*.68/Muse/

151025017a71a190b9b67a229a2ec819c00eb738.png


1510251972dd7c8ee243903c3e82b80f54b31b6e.png


(3.)电视游戏的服务页面存在str2漏洞。
地址:
http://172*.*.11/overtime.action
http://172*.*.10/overtime.action

15102552e4f23f4c35ff3a4be175444eb6331612.png


(4.)信息发布系统存在弱口令(sys,sys)及str2漏洞,可修改发布的信息
http://172*.*.52/page/loadSysInfo.action
http://172*.*.53/page/loadSysInfo.action
http://172*.*.62:8080/page/loadSysInfo.action
http://172*.*.62/page/loadSysInfo.action

151026291ba3d8f920f262a627f3b80f7e669b8b.png


1510265522adc9cdec612591682140fa6f1e78fa.png


15102715d1b26d5e68855fe543e77d1fbc01c3b1.png


15102733988dec17138455e23b6470e2ea7f4d29.png


(5.) 运用商店,str2
http://172*.*.131:8080/AppStore-Admin/admin/admin!login.action
http://172*.*.100:8080/AppStore-Admin/admin/admin!login.action

151028023d451e84e251a745cedc11dea420ee7d.png


(6.)大量硬件设备,系统运行监控设备,系统运行监控运用存在弱口令:
http://172*.*.17/index.jsp

15102850069469ff8b487255183e5eec7633ea33.png


http://172*.*.201:8090

151029232f83412a6ca6393440fab2a9fbddec06.png


http://172*.*.66/zh_cn/webui.html (admin admin)

151029578c4bcbe6a9b616f7a781332cf575dd7a.png


15103028c2c351593e0bb2104d8425df9d24ea48.png


http://172*.*.11/neteagle3/portal/infra/main.jsp (admin admin1) 网络管理系统

15103103a814ec2b019c3b575fd11935e05a6e46.png


同时通过读取源代码发现其使用了str2框架,该版本存在漏洞。地址:http://172*.*.11/neteagle3/infra/Login/login.action

151031584a10880b39deffad204468d4c0677b1b.png


多台Dell PowerEdge R420设备存在弱口令:(root calvin)
https://172*.*.92
https://172*.*.89
https://172*.*.94
https://172*.*.96
http://172*.*.212/login IP码流监测探针系统
http://172*.*.211/login IP码流监测探针系统

151032429303648eb065c04e69ae47dfaf8f56bf.png


https://172*.*.199/US/31ffff28ffffff580fff6011ffff2d/main.html (admin a10) 网络设备
https://172*.*.200/US/ff6aff6036ffffff6574ff71ffff07/main.html (admin a10)网络设备

1510330687bb36d1ffe241afef208b84ff52f7df.png


http://172*.*.132/MyPage.do?method=viewDashBoard (admin admin) 监控设备
http://172*.*.131:8080/MyPage.do?method=viewDashBoard&toredirect=true (admin admin) 监控设备
http://172*.*.134/MyPage.do?method=viewDashBoard&toredirect=true (admin admin) 监控设备
http://172*.*.133/MyPage.do?method=viewDashBoard&toredirect=true (admin admin)监控设备
http://172*.*.131/MyPage.do?method=viewDashBoard&toredirect=true (admin admin)监控设备

15103346899624ec2a57eeae9d228edfcd443645.png


15103401656fa28a6293d9290c4b0edd3bb3a9b0.png


http://172*.*.135/HomePage.do?logout=true&logoutSkipNV2Filter=true (administrator administrator) 监控设备
http://172*.*.136/DashBoard.do (administrator administrator) 监控设备

15103423a7936b228789f12e5d4286588d303f0e.png


http://172*.*.217:8090/ (admin admin) 设备

15103448116e08360a8e4ae8e2a63493c6662bfc.png


发现其存在文件包含漏洞,但实在不知道厂家为何许。http://172*.*.217:8090/help/queryHelp.page?pag=../../../../etc/shadow 我要报通用......

15103514a7c51bf671b0f2e6773b55a134068f1d.png


(7.)一套文件管理系统:
http://172*.*.65:81/ admin 111111
http://172*.*.64:81/
http://172*.*.77:81/
http://172*.*.64:81/
http://172*.*.78:81/
http://172*.*.76:81/

15103538d4a8cd91df315e668a3ab521bc1e7653.png


(8.)杂物:
http://172*.*.7/ 信息泄露
http://172*.*.181/SSI/network_summary.htm 网络打印机
http://172*.*.87:9080/ 信息泄露
http://172*.*.90:8090/ 信息泄露
http://172*.*.52:8081/ 接口测试页面 str2
ftp://172*.*.250/ 信息泄露
ftp://172*.*.251/ 信息泄露
http://172*.*.132:8080/ 信息泄露
http://172*.*.19/ 接口测试页面 str2
http://172*.*.20/NavCheck?client=8002002601147520 接口测试页面 str2

漏洞证明:

见图。

修复方案:

其实说白了,问题就出在弱口令及str2上。问题不算大问题,改也好改,但若放任不改,谁知道会不会成为下一个温州呢。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-10-20 11:37

厂商回复:

该漏洞存在网内用户发起攻击的隐患,危害较大,相关安全措施正在逐步实施中。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-08-15 11:25 | creep ( 实习白帽子 | Rank:55 漏洞数:23 | 这家伙很懒,什么都没留下。)

    神奇的路人甲...

  2. 2014-08-15 11:37 | 大大灰狼 ( 普通白帽子 | Rank:248 漏洞数:53 | Newbie)

    路人与路人甲有什么区别

  3. 2014-08-15 11:43 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    坐等无良小编

  4. 2014-08-15 11:44 | 娃哈哈 ( 实习白帽子 | Rank:36 漏洞数:6 | 伟大的科学家)

    @大大灰狼 同问

  5. 2014-08-15 11:44 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    我感觉个地方的这种东东都会有类似的问题

  6. 2014-08-15 11:46 | Z-0ne 认证白帽子 ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)

    能否放个小电影?

  7. 2014-08-15 11:47 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    顶一个

  8. 2014-08-15 11:48 | 安然意境 ( 普通白帽子 | Rank:189 漏洞数:79 | 无论是你的事业还是你的个人,可能走的过程...)

    路人甲霸占首页。。满屏尽是路人甲

  9. 2014-08-15 11:53 | loli 认证白帽子 ( 普通白帽子 | Rank:550 漏洞数:52 )

    这个叼

  10. 2014-08-15 11:58 | 安然意境 ( 普通白帽子 | Rank:189 漏洞数:79 | 无论是你的事业还是你的个人,可能走的过程...)

    应该是etc 不是ect ...

  11. 2014-08-15 12:10 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    目测洞主广东的 不谢

  12. 2014-08-15 12:12 | ling ( 实习白帽子 | Rank:76 漏洞数:35 | 我是屌丝、我为自己代言 。)

    机顶盒?

  13. 2014-08-15 12:14 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    待我放假回家,我也要看看我们家机顶盒

  14. 2014-08-15 12:32 | chock ( 实习白帽子 | Rank:58 漏洞数:15 | 今夜我们都是wooyun人,我们一定要收购长亭)

    @Sct7p 把水表交出来

  15. 2014-08-15 19:31 | Sct7p ( 实习白帽子 | Rank:62 漏洞数:9 | 懂与不懂之间只隔了一层纸,懂的人会觉得很...)

    @xsser 点解雷知我系广东噶? 强烈谴责方总查白帽的登录IP,这是一个严肃的问题!

  16. 2014-08-15 19:32 | Sct7p ( 实习白帽子 | Rank:62 漏洞数:9 | 懂与不懂之间只隔了一层纸,懂的人会觉得很...)

    @chock 这事不是我干的,此马甲是我儿子Helen的小号!

  17. 2014-08-15 21:24 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Sct7p 广西人怎么会用广东机顶盒

  18. 2014-08-15 21:26 | 有妹子送上 ( 实习白帽子 | Rank:89 漏洞数:28 | 杭州最帅的男人)

    mk

  19. 2014-08-15 21:37 | xxw ( 路人 | Rank:29 漏洞数:18 | 中国梦)

    现在都玩电视了么

  20. 2014-08-15 23:53 | Sct7p ( 实习白帽子 | Rank:62 漏洞数:9 | 懂与不懂之间只隔了一层纸,懂的人会觉得很...)

    @xsser 东北三省,南越两广,乃至内蒙新疆.......其实我会告诉你拿下北京某个服务器就会知道原来机顶盒的网络是原来如此?

  21. 2014-08-16 19:24 | 小泽 ( 实习白帽子 | Rank:47 漏洞数:21 | I Love my Country)

    @Sct7p 信息量有点大,保护好水表

  22. 2014-08-16 23:32 | Sct7p ( 实习白帽子 | Rank:62 漏洞数:9 | 懂与不懂之间只隔了一层纸,懂的人会觉得很...)

    @小泽 这个真不是我干的。我拿菊花担保

  23. 2014-08-18 20:09 | sutdy ( 普通白帽子 | Rank:101 漏洞数:33 | 0.0)

    @xsser 点解雷知我系广东噶? 强烈谴责方总查白帽的登录IP,这是一个严肃的问题!

  24. 2014-09-12 11:00 | 懒懒滴1994 ( 实习白帽子 | Rank:55 漏洞数:24 | 偶尔是个乖乖仔,不作恶,世界从来没有安全...)

    @xsser 他要跨省“作案”->->

  25. 2014-09-30 09:42 | chock ( 实习白帽子 | Rank:58 漏洞数:15 | 今夜我们都是wooyun人,我们一定要收购长亭)

    妈妈问我为什么要跪着看这篇漏洞报告

  26. 2014-10-20 10:46 | conqu3r ( 普通白帽子 | Rank:156 漏洞数:21 | 没有思想,没有道德,没有自由,没有人权的...)

    就木有人发现洞主打错个英文单词么,是etc.NOT ect.!

  27. 2014-10-20 10:48 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    这货不是已经公开了?又……

  28. 2014-10-20 10:55 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    这个状态怎么改来改去的? 不是8月15的吗?

  29. 2014-12-04 11:34 | 【|→上善若水】 ( 普通白帽子 | Rank:127 漏洞数:25 | 【|→上善若水】)

    打了一手好码~~

  30. 2014-12-05 11:15 | BMa ( 普通白帽子 | Rank:1776 漏洞数:200 )

    最大的亮点是将PC接入机顶盒网络,告诉我们今后每一个洞洞都要多插一插