多家防火墙设备存在信息泄露漏洞
概述
漏洞名称 | 多家防火墙设备存在信息泄露漏洞安全通告 |
---|---|
发布日期 | 2021-06-16 |
受影响产品及版本 | 胜鑫塔下一代防火墙XT6000-A-FW-1.0.0-0-2778 利谱第二代防火墙6164-1.5.2 任子行下一代防火墙SURF-NGSA-V-3000 中科网威下一代防火墙F6600L-1.5.2 任子行网络安全审计系统内置报表 网域科技防火墙ACF-200-1.0.0 锐捷RG-ISG视频监控网关6000-ISG02C 天融信ACM-51538-V3.0.0176 无锡城安CitySec-H9205-2.1.0 任天行网络安全管理系统SURF-RAG-5500-V4.0.0_176 深圳智开上网行为管理路由器ZK-ASR3-300-v176 深圳维盟WFW-1000-1.0.1 深圳市联天通信技术有限公司LFW400E-1.5.2 信达网安NGAF8000-1200-1.5.2 中网 F9100-1.0.0 湖北力达科讯 LDT-FW-3000-1.5.0 中科新业下一代防火墙SEENTECH-FW3-1.0.0 深圳市龙信信息技术有限公司上网行为管理 深圳国人通信上网行为管理 华清信安上网行为管理 深圳华域数安科技有限公司网络安全接入网关 瑞星上网行为管理 冰峰网络上网行为管理F9100-GL-1.0.0 华信数安上网行为管理 |
利用条件 | 访问设备登陆界面 |
潜在影响 | 获取后台管理员权限 |
详情
近日,多家安全厂商防火墙、上网行为管理设备存在信息泄露漏洞,攻击者可以通过审查网页源代码获取到用户账号和密码,导致管理员用户认证信息泄露。通过该漏洞,恶意攻击者可获取管理员账户密码,登陆该设备,从而控制防火墙或上网行为管理设备。
下面我具体举个例子,大家来感受一下。这里我用的是其中的锐捷RG-ISG视频监控网关6000-ISG02C来复现:
用fofa能找到很多
路径:http://x.x.x.x
右键查看源代码,然后ctrl+F搜索password,便可获取管理员的账号和密码
其中有3个账户和密码,密码是md5值,需要自行解密。取其中一个,成功登录
后台这里有一些敏感信息,或者可以进行后续渗透。
处置建议
限制管理设备对外网开放,并联系厂商获取补丁更新。
多家防火墙设备存在信息泄露漏洞相关推荐
- 配置snmp_多种设备基于 SNMP 协议的敏感信息泄露漏洞数据分析报告
作者:知道创宇404实验室 1. 更新情况 2. 事件概述 SNMP协议[1],即简单网络管理协议(SNMP,Simple Network Management Protocol),默认端口为 161 ...
- Ecava Sdn Bhd IntegraXor产品项目信息泄露漏洞
原文地址:http://www.ics-cert.com.cn/?p=140 概述 NCCIC/ICS-CERT从Zero Day Initiativea (ZDI)得到了一份报告,关于Ecava S ...
- 漏洞通告 | Microsoft MSDT 路径便利漏洞;Owl labs Meeting Owl Pro信息泄露漏洞
[Microsoft MSDT路径便利漏洞] 漏洞详情 MSDT(Microsoft Support Diagnostics Tool,微软支持诊断工具)是一种实用程序,用于排除故障并收集诊断数据以供 ...
- php unpack linux,PHP unpack()函数中断处理信息泄露漏洞
发布日期:2010-05-31 更新日期:2010-06-28 受影响系统: PHP PHP <= 5.3.2 PHP PHP <= 5.2.13 描述: ---------------- ...
- Roundcube Webmail信息泄露漏洞(CVE-2015-5383)
Preface Software: https://roundcube.net/ Versions: 1.1.x<1.1.2(亲测1.1.5也有效) CVE: CVE-2015-5383 Aut ...
- Linux Kernel 多个本地信息泄露漏洞
漏洞名称: Linux Kernel 多个本地信息泄露漏洞 CNNVD编号: CNNVD-201306-028 发布时间: 2013-06-04 更新时间: 2013-06-04 危害等级: 漏 ...
- 9 月 19 日,腾讯云安全中心监测到 Apache Tomcat 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615
9 月 19 日,腾讯云安全中心监测到 Apache Tomcat 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616).远程代码执行漏洞(CVE-2017-12615 ...
- Linux Kernel ‘mp_get_count()’函数本地信息泄露漏洞
漏洞名称: Linux Kernel 'mp_get_count()'函数本地信息泄露漏洞 CNNVD编号: CNNVD-201311-054 发布时间: 2013-11-06 更新时间: 2013- ...
- Coremail邮件系统存在配置信息泄露漏洞(CNVD-2019-16798)
安全公告编号: CNTA-2019-0020 2019年5月22日,国家信息安全漏洞共享平台(CNVD)收录了由北京天融信网络安全技术有限公司报送的Coremail邮件系统配置信息泄露漏洞(CNVD- ...
最新文章
- 【Prometheus】PromQL 万字详解
- java8 无符号_Java8包装类 新增 无符号运算方法
- 298.2亿美元的机器人市场,为什么过得有点“惨”
- NS4146 D类音频放大电路
- 每天一个linux命令(25):linux文件属性详解
- Java:抽象方法和抽象类,抽象类应用模板方法模式,接口及使用
- 3.1 Adapter(适配器)
- 10 个 GitHub 上超火和超好看的管理后台模版,后台管理项目有着落了
- Django_前端显示Matplotlib画的图(亲测)
- html美甲预约网页制作,教程.html · NFS1077/FNM美甲店 - Gitee.com
- Spring MVC中的基本流程
- 仙侣情缘之麒麟劫java_《仙侣情缘之麒麟劫》详细流程攻略[多图]
- 论文Time-Series Event Prediction with Evolutionary State Graph笔记
- 后场正手移动跳杀球技术图解
- 2022最火土味情话文案
- Unity小游戏之闯关小游戏
- 闭关之 C++ Template 笔记(一):PartⅠ基本概念(一)
- 集成电路——概念、发展分类和IC卡
- Pots(bfs)(存储路径)
- java this 逸出_发布逸出 java this 逸出【转】
热门文章
- 浅谈GPRS的几种应用方案
- 红心大战c语言程序设计教程课后答案,[原创]Windows 红心大战随机发牌程序分析...
- mysql 事实表 维度表_数据库的事实表与维度表
- 【MFC系列-第21天】GDI算法实战——过渡色
- (1.1)HarmonyOS鸿蒙中Ability概念及意义
- php faker 中文,使用faker 生成中文测试数据
- Win32+API学习笔记:创建基本的窗口控件
- Python模拟ICMP包
- 连载《一个程序猿的生命周期》-2.城市校园生活
- == 与 === 介绍与区别