雄迈云服务器内置硬编码账户漏洞安全通告

发布时间 2018-10-17

漏洞编号和级别


CVE编号:CVE-2018-17919,危险级别:高危,CVSS分值:厂商自评8.1,官方未评定


影响版本


杭州雄迈科技有限企业XMeye P2P云服务器
所有通过杭州雄迈科技有限企业代工的基于XMeye P2P云服务器设备


漏洞概述


XMeye P2P云服务器是一种用于NVR/DVR设备管理的组件,由杭州雄迈企业生产。此组件被发现存在内置硬编码的账号,可被远程通过Web界面登录从而实现非授权的设备管理,所有使用此组件的设备均此安全问题的影响。同时设备还存在明显的目录遍历漏洞,攻击者可以读取系统中的任意文件,攻击者可能利用这些问题进一步控制系统获取远程命令实行的能力。



中国地区中辽宁省使用用数量最多,共有4582台;广东省第二,共有1838台,山东省第三,共有1566台,北京市第四,共有1492台,江苏省第五,共有1232台。


漏洞验证


暂无POC\EXP


1、通过Web管理界面登录内置硬编码账号
通过浏览器直接访问url,使用硬编码账户即可直接登录视频监控界面。硬编码账户及口令为:default/空口令或default/tluafed

如下演示:



登录进入后的管理页面:



2、 Web Serve目录遍历漏洞
XMeye P2P云服务器Web Server组件权限配置不当,导致可以遍历目录读取任意文件。以下以尝试访问/../../../../../proc为例。


如下图:


修复建议


自查方法:
查看XMeye P2P云服务器设备是否开启Web管理,并使用内置账户在Web管理界面尝试登录。若登陆成功,则漏洞存在。

升级补丁:
杭州雄迈目前并未就此漏洞发布任何补丁,相关受影响用户请联系杭州雄迈科技及相关厂商获取支撑。

临时处置措施:
1、使用白名单方式限定可访问WEB管理平台的来源IP或关闭WEB管理平台。
2、本地通过串口修改内置的root账户口令。

参考链接


https://ics-cert.us-cert.gov/advisories/ICSA-18-282-06
http://www.xiongmaitech.com/