当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-099107

漏洞标题:大量浙江大华监控设备弱口令漏洞

相关厂商:浙江大华技术股份有限公司

漏洞作者: 李旭敏

提交时间:2015-03-04 16:49

修复时间:2015-06-07 12:50

公开时间:2015-06-07 12:50

漏洞类型:默认配置不当

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-04: 细节已通知厂商并且等待厂商处理中
2015-03-09: 厂商已经确认,细节仅向厂商公开
2015-03-12: 细节向第三方安全合作伙伴开放
2015-05-03: 细节向核心白帽子及相关领域专家公开
2015-05-13: 细节向普通白帽子公开
2015-05-23: 细节向实习白帽子公开
2015-06-07: 细节向公众公开

简要描述:

路人甲暗恋一位女同学,决定先匿名写信给她
路人乙问:“那她反应如何????”
路人甲:“很激动。”
路人乙:“那很好嘛!!然后呢???”
路人甲:“然后她就报警了。”
原来他的匿名信用报纸上剪下大小不等的铅字凑而成的……
写道:“我 注 意 你 已 经 很 久 了…… ”

详细说明:

关键字:WEB SERVICE country:China
设备系统:WEB SERVICE

5.jpg


默认帐号弱口令···
user:admin pass:admin 管理权限
user:default pass:user 用户默认登陆帐号
user:888888 pass:admin
user:666666 pass:user
http://183.252.252.141:81/
http://183.245.118.62:8080/
http://183.250.45.121:8000/
http://183.250.27.60:81/
http://183.252.252.141:81/
http://183.248.200.2:8080/
反正前10 的结果都能登陆···剩下的可以自己试试

漏洞证明:

1.jpg


钟旭之眼搜索结果是23953 条

2.jpg


Shodan搜索结果是19367条

3.jpg


4.jpg

修复方案:

升级一下的同时强制提示用户修改密码····

版权声明:转载请注明来源 李旭敏@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2015-03-09 12:49

厂商回复:

CNVD确认所述情况,已经转由CNCERT下发给分中心,由其后续协调网站管理单位处置。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-03-04 17:17 | 正好五个字 ( 实习白帽子 | Rank:93 漏洞数:15 )

    监控厂商这么多。要不要都一一举出来。

  2. 2015-06-07 16:49 | qhwlpg ( 普通白帽子 | Rank:226 漏洞数:54 | 潜心代码审计。)

    卧槽,这么牛逼

  3. 2015-08-31 19:43 | Sct7p ( 实习白帽子 | Rank:62 漏洞数:9 | 懂与不懂之间只隔了一层纸,懂的人会觉得很...)

    然并卵,这些都是公共安全的监控,不会涉及隐私,只是好奇这种监控为什么会接到互联网!