首页 > 清静研究 > 清静转达 > 清静通告

雄迈云服务器内置硬编码账户误差清静通告

宣布时间 2018-10-17

误差编号和级别

CVE编号：CVE-2018-17919，危险级别：高危，CVSS分值：厂商自评8.1，官方未评定

影响版本

杭州雄迈科技有限公司XMeye P2P云服务器
所有通过杭州雄迈科技有限公司代工的基于XMeye P2P云服务器装备

误差概述

XMeye P2P云服务器是一种用于NVR/DVR装备治理的组件，由杭州雄迈公司生产。此组件被发明保存内置硬编码的账号，可被远程通过Web界面登录从而实现非授权的装备治理，所有使用此组件的装备均此清静问题的影响。同时装备还保存显着的目录遍历误差，攻击者可以读取系统中的恣意文件，攻击者可能使用这些问题进一步控制系统获取远程下令执行的能力。

中国地区中辽宁省使用用数目最多，共有4582台；广东省第二，共有1838台，山东省第三，共有1566台，北京市第四，共有1492台，江苏省第五，共有1232台。

误差验证

暂无POC\EXP

1、通过Web治理界面登录内置硬编码账号
通过浏览器直接会见url，使用硬编码账户即可直接登录视频监控界面。硬编码账户及口令为：default/空口令或default/tluafed

如下演示：

登录进入后的治理页面：

2、 Web Serve目录遍历误差
XMeye P2P云服务器Web Server组件权限设置不当，导致可以遍历目录读取恣意文件。以下以实验会见/../../../../../proc为例。

如下图：

修复建议

自查要领：
审查XMeye P2P云服务器装备是否开启Web治理，并使用内置账户在Web治理界面实验登录。若上岸乐成，则误差保存。

升级补�。�
杭州雄迈现在并未就此误差宣布任何补丁，相关受影响用户请联系杭州雄迈科技及相关厂商获取支持。

暂时处置惩罚步伐：
1、使用白名单方法限制可会见WEB治理平台的泉源IP或关闭WEB治理平台。
2、外地通过串口修改内置的root账户口令。

参考链接

https://ics-cert.us-cert.gov/advisories/ICSA-18-282-06
http://www.xiongmaitech.com/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

雄迈云服务器内置硬编码账户误差清静通告

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线