当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0100741

漏洞标题:第一汽车集团公司员工安全意识不足导致泄露内部SSL-VPN账号

相关厂商:第一汽车集团公司

漏洞作者: 路人甲

提交时间:2015-03-11 18:58

修复时间:2015-04-25 19:00

公开时间:2015-04-25 19:00

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-04-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

第一汽车集团公司vpn帐号密码敏感信息泄露,导致可以漫游内网。

详细说明:

在QQ群上搜搜关键字:vpn 用户 ,直接可以搜出泛华公估长春营业部群里面的vpn信息:
VPN地址:https://sslvpn.faw.com.cn VPN用户:xaggjl01 VPN密码:fanhua123

1.jpg



试试vpn能否可用,不试不知道,一试下一跳,尼玛,vpn帐号居然还可以用
https://sslvpn.faw.com.cn/dana-na/auth/url_default/welcome.cgi

2.jpg



成功的登录vpn系统

3.jpg


已获取到内网ip地址

4.jpg



点到为止了就没进一步深入了测试了


漏洞证明:

修复方案:

删除群消息里面的关于vpn账号密码敏感信息。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)