漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-012257
漏洞标题:中国建行e路通网上银行自助服务终端绕过
相关厂商:中国建设银行
漏洞作者: 冰锋刺客
提交时间:2012-09-15 23:46
修复时间:2012-10-30 23:47
公开时间:2012-10-30 23:47
漏洞类型:未授权访问/权限绕过
危害等级:中
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-09-15: 细节已通知厂商并且等待厂商处理中
2012-09-17: 厂商已经确认,细节仅向厂商公开
2012-09-27: 细节向核心白帽子及相关领域专家公开
2012-10-07: 细节向普通白帽子公开
2012-10-17: 细节向实习白帽子公开
2012-10-30: 细节向公众公开
简要描述:
中国建行e路通自助服务终端为客户提供信息详情,以及网上银行服务。但是中国建行e路通自助服务终端可权限绕过,这导致会威胁到客户的账户安全。
详细说明:
中国建行e路通自助服务终端为客户提供信息详情,以及网上银行服务(有USB接口,客户可插U盾,正常使用网银)。但若自助终端被入侵的话,将会危及客户的网银安全。
自助终端样本
可以调出打印机(找到个播放flash的界面就OK),然后结果你懂得
。。。
ping一下百度也没问题,可以访问外网哦
漏洞证明:
担心的就是怕被远程控制,当然这种担心可不是多余的。。。 只是实现起来要承担一定风险
修复方案:
这个。。。真不会写
版权声明:转载请注明来源 冰锋刺客@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:9
确认时间:2012-09-17 23:29
厂商回复:
CNVD确认漏洞情况,并在17日通报建设银行信息化主管部门,对于此类终端机案例,今年出现较多,有待银行业主管部门或各大银行信息化主管部门对产品采购安全管理提出技术要求。
有关后续建行处置步骤,将进一步跟踪。本案例涉及终端机连接互联网情形,按部分影响机密性、可用性、完整性进行评分,rank=7.10*1.0*1.3=9.23
最新状态:
暂无