FIBARO智能家居系统弱口令漏洞复现

  • A+
所属分类:安全文章

编者注

广诚市保卫者

从描述信息就能看出这个系统是高端家庭实用系统,从其报价就能看出解决的不是普通民众的需求。

01

漏洞描述                                                      

FIBARO智能家居系统旨在控制照明,采暖,警报,百叶窗,门窗,灌溉系统和许多其他系统。

FIBARO智能家居系统提供家庭或公寓中任何设备的无线控制。

FIBARO系统允许您监控您的家庭,并在世界任何地方进行远程访问,只需使用可上网的智能手机即可。

漏洞主要是由于系统本身默认账号密码 admin:admin ,大多数人不会修改这个密码。

攻击路径

远程

攻击复杂度

权限要求

用户交互

不需要

02

搜索规则                                                      

fofa

app="FIBARO-智能家居"

03

靶标环境                                                      

04

漏洞复现                                                      

从fofa上搜索关键获取设备IP地址(穷,实在没办法给大家搭建环境)

访问之后如下页面:


FIBARO智能家居系统弱口令漏洞复现


点击main page打开登陆页面。输入admin:admin提交:


FIBARO智能家居系统弱口令漏洞复现


默认会进入到配置页面,选择关闭即可跳转到管理页面。


FIBARO智能家居系统弱口令漏洞复现


在管理界面就可以看到所有设备管理的物联网设备。


FIBARO智能家居系统弱口令漏洞复现


历史上此设备存在授权下的RCE漏洞,我把参考资料放在下面的,看官看着版本可以一试。


https://securelist.com/fibaro-smart-home/91416/

https://www.iot-inspector.com/blog/advisory-fibaro-home-center/

05

参考资料                                                      

http://www.elecfans.com/video/20180821734515.html

https://manuals.fibaro.com/document/hc2-first-launch/

广诚市保卫者

在平行世界的另一头“广诚市”上演着一幕幕黑客围城。

FIBARO智能家居系统弱口令漏洞复现

长按二维码关注


FIBARO智能家居系统弱口令漏洞复现

发现“分享”“赞”了吗,戳我看看吧


本文始发于微信公众号(广诚市保卫者):FIBARO智能家居系统弱口令漏洞复现

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: