首页 > 清静研究 > 清静转达 > 清静通告

雄迈云效劳器内置硬编码账户误差清静通告

宣布时间 2018-10-17

误差编号和级别

CVE编号：CVE-2018-17919，，，，危险级别：高危，，，，CVSS分值：厂商自评8.1，，，，官方未评定

影响版本

杭州雄迈科技有限公司XMeye P2P云效劳器
所有通过杭州雄迈科技有限公司代工的基于XMeye P2P云效劳器装备

误差概述

XMeye P2P云效劳器是一种用于NVR/DVR装备治理的组件，，，，由杭州雄迈公司生产。。。。。此组件被发明保存内置硬编码的账号，，，，可被远程通过Web界面登录从而实现非授权的装备治理，，，，所有使用此组件的装备均此清静问题的影响。。。。。同时装备还保存显着的目录遍历误差，，，，攻击者可以读取系统中的恣意文件，，，，攻击者可能使用这些问题进一步控制系统获取远程下令执行的能力。。。。。

中国地区中辽宁省使用用数目最多，，，，共有4582台；；；；；；广东省第二，，，，共有1838台，，，，山东省第三，，，，共有1566台，，，，北京市第四，，，，共有1492台，，，，江苏省第五，，，，共有1232台。。。。。

误差验证

暂无POC\EXP

1、通过Web治理界面登录内置硬编码账号
通过浏览器直接会见url，，，，使用硬编码账户即可直接登录视频监控界面。。。。。硬编码账户及口令为：default/空口令或default/tluafed

如下演示：

登录进入后的治理页面：

2、 Web Serve目录遍历误差
XMeye P2P云效劳器Web Server组件权限设置不当，，，，导致可以遍历目录读取恣意文件。。。。。以下以实验会见/../../../../../proc为例。。。。。

如下图：

修复建议

自查要领：
审查XMeye P2P云效劳器装备是否开启Web治理，，，，并使用内置账户在Web治理界面实验登录。。。。。若上岸乐成，，，，则误差保存。。。。。

升级补�。。。。。�
杭州雄迈现在并未就此误差宣布任何补丁，，，，相关受影响用户请联系杭州雄迈科技及相关厂商获取支持。。。。。

暂时处置惩罚步伐：
1、使用白名单方法限制可会见WEB治理平台的泉源IP或关闭WEB治理平台。。。。。
2、外地通过串口修改内置的root账户口令。。。。。

参考链接

https://ics-cert.us-cert.gov/advisories/ICSA-18-282-06
http://www.xiongmaitech.com/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

雄迈云效劳器内置硬编码账户误差清静通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线