WooYun.org

锐捷EG1000系类、NBR系列产品缺陷（BUG）
一、名称：锐捷EG1000系类、NBR系列网关产品缺陷（BUG）
二、异常或问题描述：
此缺陷疑似系统设计导致，该厂商EG系列出口网关和NBR出口路由存在设计缺陷，导致WAN方向默认开放23端口服务，此缺陷可能被黑客利用进行内网渗透。且WEB管理对admin帐号的管理无效，导致用户修改密码后，仍可以用admin口令登录其Telnet服务 并窥探内网！渗透内网！等远程攻击。
发现问题的型号为
锐捷EG1000s 锐捷NBR1200
这一通用型缺陷非配置问题，可能影响到所以该厂的中低端网关产品
笔者用一枚EG1000恢复出厂设置后进行了试验
首先在这里修改了密码
然后在WAN口telnet登录成功
并可窥探内部网络结构且可以远程连接下一跳的设备
如上图
查看配置信息后发现如下代码
line con 0
line vty 0 4
login
password admin
!
!
End
这个是WEB管理界面无法修改的
且说明书中没有提及
如果不查看配置信息很难被发现
可定性为
系统缺陷
三、涉及范围：锐捷EG系类 NBR系类中低端网关产品。
四、异常验证测试记录：
笔者用一枚EG1000恢复出厂设置后（这里排除了部署工程师的问题）进行了试验
首先在这里修改了密码
然后TELNET远程登录
输入默认口令 仍能登录
　　可以PING工具枚举内部网络结构
也可以登录其他设备。
五、建议解决办法
向其最终用户通报此缺陷，建议最终用户在命令行下修改此登录密码或将23口映射到空地址,或者建立ACL阻止访问（未确定有效）。但更完美的解决方法是，出厂默认关闭Telnet和web等管理模式，只保留带外管理。
六、验证代码：
修改密码后配置信息中仍有以下记录
line con 0
line vty 0 4
login
password admin
!
!
End
此TELNET 密码在WEB界面下无法修改删除且说明书中无说明。
七、攻击用途：远程
八、攻击复杂程度：中
九、认证：可绕过
十、机密性：受影响
十一、完整性：可能受影响
十二、可用性：受影响