漏洞概要
关注数(24)
关注此漏洞
漏洞标题:傲盾某防火墙漏洞设备安全漏洞可导致企业防火墙与北京市某行业主管部门服务器权限被控制(影响多家互联网企业)
提交时间:2015-05-11 09:54
修复时间:2015-06-25 16:50
公开时间:2015-06-25 16:50
漏洞类型:应用配置错误
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2015-05-11: 细节已通知厂商并且等待厂商处理中
2015-05-11: 厂商已经确认,细节仅向厂商公开
2015-05-21: 细节向核心白帽子及相关领域专家公开
2015-05-31: 细节向普通白帽子公开
2015-06-10: 细节向实习白帽子公开
2015-06-25: 细节向公众公开
简要描述:
今天群里说到美团花了点时间测试下发现美团的测试版防火墙有点小问题 深入发掘后不小心挖到了北京市通信管理局IDC/ISP信息安全管理系统
阿里巴巴 阿里云 搜狐 迅雷 好123 4399 优酷 土豆 腾讯 百度 苏宁拍拍等等....
全体中枪
详细说明:
对美团的服务器进行了一个域名猜解
再对IP C段进行一个扫描发现了美团的测试防火墙
并且可以直接未授权添加用户
翻找了下没有什么有价值的 就是个测试的
当然还有个
看上去是另一个 不过还是配置有点问题
登录就404
就继续扫了下全端口
发现使用的是Mongo数据库
在对数据库进行翻找的时候发现了一个ftp
发现居然是北京市通信管理局IDC/ISP信息安全管理系统
这牛逼就大了....
直接ssh
各种数据库备份惨不忍睹啊
由于数据过于敏感我就不截图了
上面列举企业全部中枪
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:18
确认时间:2015-05-11 16:49
厂商回复:
非常感谢白帽子对美团安全的关注。该漏洞不是美团服务器配置引起的问题,是信管局要求美团为对接安装的某硬件测试设备,该设备存在安全问题。我们已将问题反馈给设备厂商(傲盾)。此设备与美团内网是隔离状态。因美团无法对此设备配置做任何更改,且此设备使用广泛,该问题已交给相关机构处理。
最新状态:
暂无
漏洞评价:
评论
-
2015-05-11 09:59 |
Coody 
( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)
-
2015-05-11 09:59 |
浩天 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)
-
2015-05-11 10:10 |
子非海绵宝宝 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)
-
2015-05-11 10:47 |
anting ( 普通白帽子 | Rank:105 漏洞数:38 | 活到老,学到老)
-
2015-05-11 11:07 |
专业种田 ( 核心白帽子 | Rank:1425 漏洞数:182 | 没有最专业的农民,只有更努力地耕耘..........)
这个宝宝在提交漏洞,那个宝宝(王宝强)在晒与妈妈的照片
-
2015-05-11 11:28 |
px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)
-
2015-05-11 11:33 |
scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)
-
2015-05-11 11:34 |
我能拒绝么 ( 路人 | Rank:10 漏洞数:3 | 疯爆志林)
-
2015-05-11 11:50 |
孤独行者 ( 普通白帽子 | Rank:110 漏洞数:44 | 时光如水,总是无言。你若安好,便是晴天)
-
2015-05-11 11:51 |
diguoji ( 普通白帽子 | Rank:323 漏洞数:79 | 中国吉林长春)
-
2015-05-11 12:15 |
疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)
小伙子,我今年有32场CTF,你来我这,带你装逼带你飞。
-
2015-05-11 12:19 |
小胖子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)
小伙子,我今年有32场全国巡回CTF,你来我这,带你装逼带你飞。
-
2015-05-11 12:22 |
子非海绵宝宝 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)
@小胖子 @疯子 你们两个打一架 谁赢了跟谁赶紧的 爆米花已经准备好了
-
2015-05-11 12:54 |
hope ( 路人 | Rank:1 漏洞数:2 | 一个小菜)
-
2015-05-11 13:16 |
金枪银矛小霸王 ( 普通白帽子 | Rank:103 漏洞数:25 | 不会挖洞洞的猿猿不是好学生)
-
2015-05-11 13:28 |
玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )
-
2015-05-11 13:34 |
zeracker ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)
-
2015-05-11 13:35 |
子非海绵宝宝 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)
-
2015-05-11 13:35 |
爱上平顶山 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)
-
2015-05-11 13:41 |
秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)
-
2015-05-11 13:48 |
动后河 ( 实习白帽子 | Rank:51 漏洞数:13 | ☭)
-
2015-05-11 13:52 |
crackershi ( 普通白帽子 | Rank:122 漏洞数:18 | 云标准制定 CISP ISO审核员)
-
2015-05-11 13:54 |
MayIKissYou ( 普通白帽子 | Rank:195 漏洞数:33 | 勿忘初心)
-
2015-05-11 14:41 |
美囤妈妈(乌云厂商)
-
2015-05-11 14:55 |
晏子 ( 路人 | Rank:6 漏洞数:4 | 无)
-
2015-05-11 15:02 |
疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)
@美囤妈妈 你的厂商名亮瞎了我24K纯金狗眼,看了你的名字,我在回到上面看了一下厂商名,差点以为看错了。
-
2015-05-11 15:17 |
美囤妈妈(乌云厂商)
-
2015-05-11 15:20 |
Format_smile ( 普通白帽子 | Rank:167 漏洞数:67 | ···孰能无过,谁是谁非!渗透穷三代,黑...)
-
2015-05-11 15:25 |
prolog ( 普通白帽子 | Rank:544 漏洞数:107 | 低调求发展)
-
2015-05-11 16:40 |
f4ck ( 实习白帽子 | Rank:42 漏洞数:7 | 有些人很牛B,一个漏洞能刷成N个。)
-
2015-05-11 16:45 |
浩天 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)
@f4ck NO,是美团的入口,但大问题不是美团的,美团已经控制不了,需要移交监管部门
-
2015-05-11 16:47 |
px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)
-
2015-05-11 16:55 |
f4ck ( 实习白帽子 | Rank:42 漏洞数:7 | 有些人很牛B,一个漏洞能刷成N个。)
-
2015-05-11 16:55 |
孤独行者 ( 普通白帽子 | Rank:110 漏洞数:44 | 时光如水,总是无言。你若安好,便是晴天)
-
2015-05-11 16:58 |
疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
-
2015-05-11 17:09 |
孤独行者 ( 普通白帽子 | Rank:110 漏洞数:44 | 时光如水,总是无言。你若安好,便是晴天)
-
2015-05-11 17:24 |
ganggang ( 路人 | Rank:4 漏洞数:2 | 这个号是来乌云聊天的....)
@孤独行者 明明是傲盾某防火墙 好不好......
-
2015-05-11 17:29 |
孤独行者 ( 普通白帽子 | Rank:110 漏洞数:44 | 时光如水,总是无言。你若安好,便是晴天)
-
2015-05-11 18:33 |
明月影 ( 路人 | Rank:12 漏洞数:8 | 学姿势,学思路。)
