当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0137317

漏洞标题:北京光环新网科技某漏洞可控制公司所有路由交换设备/BMS监控/IDC机房服务器/大量VIP用户

相关厂商:北京光环新网科技股份有限公司

漏洞作者: an0nym0u5

提交时间:2015-08-29 11:04

修复时间:2015-10-15 17:56

公开时间:2015-10-15 17:56

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-29: 细节已通知厂商并且等待厂商处理中
2015-08-31: 厂商已经确认,细节仅向厂商公开
2015-09-10: 细节向核心白帽子及相关领域专家公开
2015-09-20: 细节向普通白帽子公开
2015-09-30: 细节向实习白帽子公开
2015-10-15: 细节向公众公开

简要描述:

bufu~
链家/国美/当当/乐峰网/神州租车/印象笔记/新网互联等躺枪

详细说明:

北京光环新网科技股份有限公司是业界领先的互联网综合服务提供商,主营业务为互联网数据中心服务(IDC及其增值服务)、互联网宽带接入服务(ISP)以及云计算等互联网综合服务,是北京最具影响力的互联网服务商之一。累计服务企业客户逾万家,为用户提供更加高速、稳定、安全的互联网环境。
主机服务器监控系统存在弱口令,可控制公司所有路由交换设备、BMS监控、IDC机房服务器、大量VIP用户(链家、国美、当当、乐峰网、神州租车、印象笔记、新网互联等)。

119.254.67.196
账号:admin
密码:admin

hl00.jpg

看图吧,吓尿了。

hl0.jpg

可启/停/重置所有服务器等设备。

hl1.jpg

hl2.jpg

hl7.jpg

hl3.jpg

hl4.jpg

hl5.jpg

hl6.jpg

涉及大量无辜知名厂商,例如:链家、国美、当当、乐峰网、神州租车、印象笔记、新网互联等。

hl8.jpg

漏洞证明:

已证明。

修复方案:

你们更专业!

版权声明:转载请注明来源 an0nym0u5@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-08-31 17:54

厂商回复:

CNVD确认并复现所述漏洞情况,已由CNVD直接向网站管理单位——光环新网IDC通报。

最新状态:

暂无