首页 > 安全钻研 > 安全传递 > 安全公告

雄迈云服务器内置硬编码账户缝隙安全公告

颁布功夫 2018-10-17

缝隙编号和级别

CVE编号：CVE-2018-17919，危险级别：高危，CVSS分值：厂商自评8.1，官方未评定

影响版本

杭州雄迈科技有限公司XMeye P2P云服务器
所有通过杭州雄迈科技有限公司代工的基于XMeye P2P云服务器设备

缝隙概述

XMeye P2P云服务器是一种用于NVR/DVR设备治理的组件，由杭州雄迈公司出产。此组件被发现存在内置硬编码的账号，可被远程通过Web界面登录从而实现非授权的设备治理，所有使用此组件的设备均此安全问题的影响。同时设备还存在显著的目录遍历缝隙，攻击者能够读取系统中的肆意文件，攻击者可能利用这些问题进一步节造系统获取远程号令执行的能力。

中国地域中辽宁省使用用数量最多，共有4582台；广东省第二，共有1838台，山东省第三，共有1566台，北京市第四，共有1492台，江苏省第五，共有1232台。

缝隙验证

暂无POC\EXP

1、通过Web治理界面登录内置硬编码账号
通过浏览器直接接见url，使用硬编码账户即可直接登录视频监控界面。硬编码账户及口令为：default/空口令或default/tluafed

如下演示：

登录进入后的治理页面：

2、 Web Serve目录遍历缝隙
XMeye P2P云服务器Web Server组件权限配置不当，导致能够遍历目录读取肆意文件。以下以尝试接见/../../../../../proc为例。

如下图：

建复建议

自查步骤：
查看XMeye P2P云服务器设备是否开启Web治理，并使用内置账户在Web治理界面尝试登录。若登陆成功，则缝隙存在。

升级补�。�
杭州雄迈目前并未就此缝隙颁布任何补丁，有关受影响用户请联系杭州雄迈科技及有关厂商获取支持。

一时措置措施：
1、使用白名单方面式限造可接见WEB治理平台的起源IP或关关WEB治理平台。
2、本地通过串口批改内置的root账户口令。

参考链接

https://ics-cert.us-cert.gov/advisories/ICSA-18-282-06
http://www.xiongmaitech.com/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

雄迈云服务器内置硬编码账户缝隙安全公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线