漏洞概要
关注数(24)
关注此漏洞
漏洞标题:再牛逼的防火墙也敌不过一个reboot之网络基础设施安全(reboot/del/rm)
提交时间:2015-11-26 16:32
修复时间:2016-01-14 16:28
公开时间:2016-01-14 16:28
漏洞类型:基础设施弱口令
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2015-11-26: 细节已通知厂商并且等待厂商处理中
2015-11-30: 厂商已经确认,细节仅向厂商公开
2015-12-10: 细节向核心白帽子及相关领域专家公开
2015-12-20: 细节向普通白帽子公开
2015-12-30: 细节向实习白帽子公开
2016-01-14: 细节向公众公开
简要描述:
我依稀记得匿名者曾经声称要让全中国断网,当时觉得有点夸张。
但是现在....俨然成为一个事实,而且,还很容易
那,到底是谁的错呢?
详细说明:
如果结合之前的两个设备会更劲爆
http://**.**.**.**/bugs/wooyun-2010-0144850
http://**.**.**.**/bugs/wooyun-2010-0155584
要问我如何快速扫描定位目标的?
因为我有一个牛逼的设备特征库
好了,废话不多说,开始撸。
噪起来吧~
首先来说说如何生成一个通用的telnet特征库,这里撸主没有说成指纹库而说成特征库,是因为我所生成的特征并不能精确到100%,因为只要随意修改一点点设备的信息,即可生成一个新的特征,所以只能作为参考。但是针对于大多数设备,尤其是针对某些比较有影响力的设备进行扫描的时候特别好使。
Python大法好,先写一个多线程的脚本,批量扫描IP段,获取telnet返回的欢迎信息。撸主在http://**.**.**.**/bugs/wooyun-2010-0144850 这个洞里面说过,欢迎信息是很有用的,这些欢迎信息基本上没有人去修改,虽然有些设备确实可以自定义,但是在大量设备面前,我相信运营商也不会闲的蛋疼要OEM厂商生成独一无二的欢迎信息,也不会要求运维人员部署的时候去diy一下。所以,根据这些就很容易识别通用的设备。
获取到欢迎信息后可以用喜欢的加密方式生成一串特征码,撸主用的MD5,将这些特征码和对应的设备型号以及可能存在的通用口令存储到远程服务器上生成API接口,方便调用。
好了,方法就说到这,剩下的童鞋们自由发挥吧。
漏洞证明:
接下来进入今天的主题,通过扫描相同一款设备的时候很容易发现,像之前提到的两个洞里面的两款设备的IP都很有意思,基本上都是存在一个段或相近的段里面。这对我们的扫描很有帮助。你甚至可以根据IP段的规律推断出哪些IP段可能存在通信性设备,因为,人的惰性。
首先要说的是中兴一款设备:ZXA10 C300
官方的介绍在这
同样的撸主会选取两段话来说明设备的用途以及风险
从介绍中可以看出此系列产品用于长距离光型号通信以及三网融合通信方面。很显然,一旦被控制,后果不堪设想。
那我们就来看下,怎么控制呢。撸主这里随便选取一个扫描到的IP,毕竟这设备实在是太多了,随随便便一扫就是一片,通过默认口令zte/zte直接登录进去就是最高权限。
从图上可以看出命令相当丰富,其中不乏一些敏感的命令,比如 reboot、reset-card、rmdir,可以干啥就不用说了吧。
同样的,一个IP并不能说明问题,这里就举个例子,简直信手拈来。比如安徽电信的一个段 **.**.**.**/24 ,撸主手一抖就写了一个批量扫描登录并获取返回信息的脚本,噪起来吧,看个图
看图实在是不直观,列出来吧
看的不爽?再来个段,依然是安徽电信**.**.**.**/24,扫描结果
实在是太多了,全国撸主就不扫了,挺吓人的
接下来说说另外一个设备,烽火通信的,虽然没有像华为、中兴那么普及,但也是一抓一个准啊
烽火通信的F-engine S3000 和 Fengine S3582MF(属于S3500系列),下面给出根据谷歌找到的一些资料
S3500系列
S3000 官方的一个介绍http://**.**.**.**/cn/news/4/905.html
根据介绍,很容易看出使用范围之广,甚至在智能楼宇中都有应用,已经不仅仅是运营商的问题了,一旦出现问题,风险可想而知。
撸主在找中兴设备的时候意外的找到了一批烽火的设备,看个图
扫描网段**.**.**.**/24 通过默认口令admin/12345可登录扫描到的烽火的所有设备。设备的外观撸主也找到了一个图参考
看下这俩设备能干啥。
S3528MF
S3000
从图上很清楚的看到两款设备均存在reboot、rmdir等敏感命令。风险依然大大的有
当然,获取撸主提到的设备包括以前提到的设备,实际扫描到的案例数量非常庞大,分布在全国各地,各种场所。这将是非常漫长而且艰巨的修复任务。
更多设备正在陆续扫描验证中...期待吧
修复方案:
版权声明:转载请注明来源 一只猿@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2015-11-30 16:27
厂商回复:
CNVD未直接复现所述情况,已经由CNVD通过网站公开联系方式或以往建立的处置渠道分别向软件生产厂商通报。
最新状态:
暂无
漏洞评价:
评价
-
2015-11-26 17:20 |
丶Soim ( 路人 | Rank:0 漏洞数:1 | 一只正在学飞的小菜鸟。)
相关厂商: cncert国家互联网应急中心漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理怎么觉得有点....
-
2015-11-27 15:27 |
大师兄 ( 路人 | Rank:29 漏洞数:7 | 每日必关注乌云)
-
2015-11-27 15:27 |
大师兄 ( 路人 | Rank:29 漏洞数:7 | 每日必关注乌云)
-
@一只猿 鉴于您对网络设备类风险有较深入研究,商请联系vreport@cert.org.cn,我们向您请教些技术问题. 谢谢.
-
2015-11-30 17:39 |
1c3z ( 普通白帽子 | Rank:264 漏洞数:55 | #)
-
2015-11-30 18:24 |
Hackshy ( 实习白帽子 | Rank:47 漏洞数:23 | 猪猪侠爱吃棒棒糖)
-
2015-11-30 22:32 |
孤独的小船 ( 路人 | Rank:8 漏洞数:3 | 一名碌碌无为的网络安全爱好者)
-
2015-12-09 16:34 |
phoenixne ( 实习白帽子 | Rank:48 漏洞数:23 | 小本毕业,向各位学习)