当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0127755

漏洞标题:可用最简单的办法进入吉林银行内网

相关厂商:cncert

漏洞作者: 路人甲

提交时间:2015-10-23 14:03

修复时间:2015-12-12 08:08

公开时间:2015-12-12 08:08

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-23: 细节已通知厂商并且等待厂商处理中
2015-10-28: 厂商已经确认,细节仅向厂商公开
2015-11-07: 细节向核心白帽子及相关领域专家公开
2015-11-17: 细节向普通白帽子公开
2015-11-27: 细节向实习白帽子公开
2015-12-12: 细节向公众公开

简要描述:

经过分析吉林银行在乌云的几个案例发现其根本无视网络安全,坚决使用弱口令和空口令,于是我想看看能做些什么,这就有了下文。声明:仅对该行进行友好检测,并无任何恶意,意在督促网络安全建设,保护公民合法权益!

详细说明:

百度搜索邮箱命名规则进行登陆尝试,是否存在弱口令,成功登陆一个用户后导出信息科技部邮箱列表进行登陆尝试,得到若干弱口令和机密文档,然后连入其VPN进而威胁内网。
为不影响某个员工,证明中未提及具体的邮箱信息。

漏洞证明:

email服务器

http://**.**.**.**


登陆后是这个样子

1.PNG


在测试的169个信息科技部人员邮箱中发现18个弱口令和默认口令问题
邮箱进行搜索获取到如下内容

3 - 副本.PNG


然后我就登陆进入VPN了

2.PNG


打开内网应用

3.PNG


就这样吧 没有进一步探测内网

修复方案:

1.邮箱开启登陆验证码机制
2.加入多因素认证机制
3.邮箱内不要包含敏感信息
4.VPN加入多因素认证机制
5.强制检测并修改弱口令邮箱账户

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2015-10-28 08:07

厂商回复:

暂未能直接复现所述情况,商请报送者协助提供后续信息.按历史测试结果先行确认,rank 3

最新状态:

暂无


漏洞评价:

评论

  1. 2015-10-23 15:15 | 薄雾 ( 路人 | Rank:10 漏洞数:2 | 喜欢交友。喜欢动脑。)

    围观

  2. 2015-10-23 16:38 | cncert国家互联网应急中心(乌云厂商)

    您好! 感谢您对CNVD的支持,请您协助CNVD提供下存在漏洞的弱口令账号密码,并邮件反馈至vreport@cert.org.cn,以便CNVD及时处置。 祝好!