漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0100741
漏洞标题:第一汽车集团公司员工安全意识不足导致泄露内部SSL-VPN账号
相关厂商:第一汽车集团公司
漏洞作者: 路人甲
提交时间:2015-03-11 18:58
修复时间:2015-04-25 19:00
公开时间:2015-04-25 19:00
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-03-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-04-25: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
第一汽车集团公司vpn帐号密码敏感信息泄露,导致可以漫游内网。
详细说明:
在QQ群上搜搜关键字:vpn 用户 ,直接可以搜出泛华公估长春营业部群里面的vpn信息:
VPN地址:https://sslvpn.faw.com.cn VPN用户:xaggjl01 VPN密码:fanhua123
试试vpn能否可用,不试不知道,一试下一跳,尼玛,vpn帐号居然还可以用
https://sslvpn.faw.com.cn/dana-na/auth/url_default/welcome.cgi
成功的登录vpn系统
已获取到内网ip地址
点到为止了就没进一步深入了测试了
漏洞证明:
修复方案:
删除群消息里面的关于vpn账号密码敏感信息。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:15 (WooYun评价)