当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0137614

漏洞标题:某省电信大量无线设备存在弱口令及SNMP信息泄露

相关厂商:广东省电信

漏洞作者: wy007

提交时间:2015-08-30 15:45

修复时间:2015-10-17 10:38

公开时间:2015-10-17 10:38

漏洞类型:基础设施弱口令

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-30: 细节已通知厂商并且等待厂商处理中
2015-09-02: 厂商已经确认,细节仅向厂商公开
2015-09-12: 细节向核心白帽子及相关领域专家公开
2015-09-22: 细节向普通白帽子公开
2015-10-02: 细节向实习白帽子公开
2015-10-17: 细节向公众公开

简要描述:

下一个会不会是某省联通了...

详细说明:

本是无意间发现一台无线AP设备存在默认口令,后来挖掘了一下(信息搜集),
发现应该是广东省电信全省采购的这几种型号的AP设备(且这几种AP型号设备的默认口令居然都是一致的...,貌似都是国产XX货...),
随机挑了一些进行测试,发现存在弱口令的设备不少,但并不是所有AP设备都存在
这里简单说一下测试过程中发现的几个主要问题:
1.无线AP管理后台弱口令:
三元达WPB-5000: 目前测试的99%都存在弱口令
智达康ZDC ZG-5000:目前测试的%80都存在弱口令
国人通信SRG-W5000:一小部分存在弱口令
中兴ZTE W860A: 设备数量较少,暂未发现
2.SNMP Public默认口令:
基本上目前测试的80%无线AP设备默认都开了SNMP端口,就算管理后台弱口令无法登陆,但依然可以通过SNMP获取设备的详细配置信息
3.登陆页面没有验证码校验和失败次数限制:
可以进行暴力破解
通过以上几个方面,对广东省电信的外网IP进行扫描,然后使用工具或脚本批量进行爆破和弱口令登陆。应该会有不少收获...
下面开始进入正题:
默认用户名:admin
默认密码:password
目前已经测试的漏洞地址:(实际存在漏洞的数量远大于这些,因广东省电信IP段太广,只测试小部分IP段,其他自行排查吧...测试这些还浪费了我大半天功夫...)
广东省汕头市电信:
https://121.10.200.39/cgi-bin/webproc
https://121.10.200.40/cgi-bin/webproc
https://121.10.200.144/cgi-bin/webproc
https://121.10.200.145/cgi-bin/webproc
https://121.10.200.146/cgi-bin/webproc
https://121.10.200.148/cgi-bin/webproc
https://121.10.200.149/cgi-bin/webproc
https://121.10.200.151/cgi-bin/webproc
https://121.10.200.153/cgi-bin/webproc
https://121.10.200.155/cgi-bin/webproc
https://121.10.200.157/cgi-bin/webproc
https://121.10.200.159/cgi-bin/webproc
https://121.10.200.161/cgi-bin/webproc
https://121.10.200.162/cgi-bin/webproc
https://121.10.200.163/cgi-bin/webproc
广东省汕头市电信:
https://59.35.31.239/cgi-bin/webproc
广东省湛江市电信:
https://113.86.163.35/login_zdc.htm
https://113.86.163.46/login_zdc.htm
https://113.86.163.55/login_zdc.htm
https://113.86.163.183/login_zdc.htm
广东省湛江市电信:
https://113.86.184.106/login1.htm
https://113.86.184.112/login1.htm
广东省云浮市电信:
https://113.107.192.45/login_zdc.htm
https://113.107.192.131/login_zdc.htm
https://113.107.192.6/login1.htm
https://113.107.192.81/login1.htm
https://113.107.192.138/login1.htm
https://113.107.192.205/login1.htm
广东省深圳市电信:(SNMP Public弱口令)
119.146.17.46
119.146.17.90
下面说一下测试思路:
可以对广东省电信IP段进行443端口扫描,这些AP默认全是开放443端口,
开放的443端口的一般即为无线AP管理后台,然后使用通用用户名密码进行测试,
嫌手动测试麻烦的,其实可以写个脚本或使用工具进行批量测试
用户名:admin
密码:password
广东省电信部分IP段443端口扫描:

121.10.200.1(开放443端口主机).png


113.107.192.0(开放443端口主机).png


113.86.184.0(开放443端口主机).jpg


113.86.163.0(开放443端口主机).png


可以看到上面我使用工具已经查询了几个广东省电信的IP段。
121.10.190.0-121.10.231.255 广东省汕头市电信
113.86.128.0-113.86.255.255 广东省湛江市电信
119.146.14.0-119.146.27.255 广东省深州市电信
113.107.189.0-119.107.194.255 广东省潮州市电信
获得到了开放443端口的IP地址之后,下一步就是测试默认口令了,
我这里没有写工具,是手动测试的,本来以为不多就手动上去测试了...结果悲剧了。
测试发现有一些默认口令是无法登陆的,但是默认依然开了SNMP端口,我们可以利用工具搜集一些网络信息和设备配置信息

SNMP默认开启.jpg


SNMP信息1.jpg


SNMP信息2.jpg


SNMP信息3.jpg


SNMP信息4.jpg


SNMP信息5.jpg


SNMP信息6.jpg


SNMP信息7.jpg


仔细看其实上面搜集到的信息还是不少的,最后一张图里获取的信息是最多的,基本设备的所有配置信息都在里面可以看到,包括设备的用户名
有人可能觉得光知道用户名有什么用...这些信息虽然不能直接进行利用,但是为APT攻击提供了很多便利。例如知道了用户名,就只需要对密码进行爆破了,爆破的排列组合少了不少自然成功率和速度就增加了不少...
下面就要说到,这些国产AP的安全做得确实不到位,应该都有年头了吧...都没有验证码校验,且没有失败尝试次数限制,我想对于有字典的大牛们,爆破这种应该不难吧...

登录不需要验证码1.png


登录不需要验证码2.png


登录不需要验证码3.jpg


登录不需要验证码4.png


漏洞证明:

下面就直接上图吧...

三元达WPB-5000无线AP配置主界面.png


用户管理(可添加用户).png


VPN配置.png


DNS配置(劫持DNS).png


路由配置(改变路由).png


QOS配置.png


WAN接口配置.png


DMZ配置.png


AP列表.png


ZDC ZG-5000配置界面1(湛江电信).jpg


ZDC ZG-5000配置界面2(湛江电信).jpg


国人通信无线AP主界面.png


NMAP扫描SNMP开放端口.jpg


NMAP扫描SNMP开放端口2.jpg


过程写这么详细,只是为了让厂商意识到严重性(你们可以拿我的测试方法自行测试还有多少漏洞存在...),如果我只贴几个地址给你的话,你会不会觉得只有这几个地址存在弱口令,换个密码就OK了...
量变引起质变你们懂得...

修复方案:

1.所有设备的默认口令都修改下吧...
2.不做采集的话就关了SNMP端口吧..
3.防火墙上做策略来限制访问吧...

版权声明:转载请注明来源 wy007@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-09-02 10:36

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国电信集团公司通报,由其后续协调网站管理部门处置.

最新状态:

暂无