漏洞概要 关注数(17) 关注此漏洞
缺陷编号: WooYun-2016-179184
漏洞标题: 工控安全中国石油抽油机地面管控系统SQL注入(可控制大量油井运行或停井)
相关厂商: cncert
漏洞作者: niliu![工控安全中国石油抽油机地面管控系统SQL注入(可控制大量油井运行或停井)]()
提交时间: 2016-02-28 00:40
公开时间: 2016-04-17 11:37
漏洞类型: SQL注射漏洞
危害等级: 高
自评Rank: 15
漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
Tags标签: 工控安全
漏洞详情
披露状态:
2016-02-28: 细节已通知厂商并且等待厂商处理中
2016-03-03: 厂商已经确认,细节仅向厂商公开
2016-03-13: 细节向核心白帽子及相关领域专家公开
2016-03-23: 细节向普通白帽子公开
2016-04-02: 细节向实习白帽子公开
2016-04-17: 细节向公众公开
简要描述:
石油乃国家之命脉,工控安全关系国家安全!
详细说明:
中国石油的一个“抽油机地面管控平台”两处SQL注入,导致大量数据面临泄露,后台权限丢失。
后台管理权限可操作大量油井工作状态(运行、停井)等。
改系统由“大庆恒通电子股份有限公司”开发
如上系统登陆由手机号和邮箱认证,弱口令无果。
于是发现了两处注入,一处是登陆接口用户名参数注入,另一处是系统后台查询的注入。
1.
2.
数据库就不深入看了,直接admin' or '1'='1 进入后台
涉及到全国各地的油井
油井的各种数据
最重要的是油井可被控制,停井或运行,没敢乱点..
漏洞证明:
如上
修复方案:
修复SQL注入
建议这种系统放到内网
版权声明:转载请注明来源 niliu@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2016-03-03 11:37
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT向能源行业信息化主管部门通报,由其后续协调网站管理单位处置.
最新状态:
暂无
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
登陆后才能进行评分
评论