雄迈云服务器内置硬编码账户漏洞安全通告
发布时间 2018-10-17漏洞编号和级别
CVE编号:CVE-2018-17919,危险级别:高危,CVSS分值:厂商自评8.1,官方未评定
影响版本
杭州雄迈科技有限公司XMeye P2P云服务器
所有通过杭州雄迈科技有限公司代工的基于XMeye P2P云服务器设备
漏洞概述
XMeye P2P云服务器是一种用于NVR/DVR设备管理的组件,由杭州雄迈公司生产。此组件被发现存在内置硬编码的账号,可被远程通过Web界面登录从而实现非授权的设备管理,所有使用此组件的设备均此安全问题的影响。同时设备还存在明显的目录遍历漏洞,攻击者可以读取系统中的任意文件,攻击者可能利用这些问题进一步控制系统获取远程命令执行的能力。
中国地区中辽宁省使用用数量最多,共有4582台;广东省第二,共有1838台,山东省第三,共有1566台,北京市第四,共有1492台,江苏省第五,共有1232台。
漏洞验证
暂无POC\EXP
1、通过Web管理界面登录内置硬编码账号
通过浏览器直接访问url,使用硬编码账户即可直接登录视频监控界面。硬编码账户及口令为:default/空口令或default/tluafed
如下演示:
登录进入后的管理页面:
2、 Web Serve目录遍历漏洞
XMeye P2P云服务器Web Server组件权限配置不当,导致可以遍历目录读取任意文件。以下以尝试访问/../../../../../proc为例。
修复建议
自查方法:
查看XMeye P2P云服务器设备是否开启Web管理,并使用内置账户在Web管理界面尝试登录。若登陆成功,则漏洞存在。
升级补丁:
杭州雄迈目前并未就此漏洞发布任何补丁,相关受影响用户请联系杭州雄迈科技及相关厂商获取支持。
临时处置措施:
1、使用白名单方式限定可访问WEB管理平台的来源IP或关闭WEB管理平台。
2、本地通过串口修改内置的root账户口令。
参考链接
http://www.xiongmaitech.com/
京公网安备11010802024551号