360TISV2018012XMeyeP2P云服务器内置硬编码账号漏洞通告

通告背景

2018年10月9日，US-CERT发布了一个安全通告，涉及杭州雄迈科技有限公司XMeye P2P云服务器存在硬编码内置账号问题，相应的漏洞编号为CVE-2018-17919。攻击者只需通过网页浏览器访问并使用设备内置的硬编码账号即可登录设备管理控制台。另外，360威胁情报中心在漏洞验证过程中，部分设备还被发现存在目录遍历漏洞。

目前漏洞相关的技术细节和验证方法已经公开，初步评估互联网上受影响的设备数量非常大，利用存在的这些已知安全问题结合其他漏洞，相关的设备有可能被利用来构建Botnet网络从而构成巨大的现实威胁。360威胁情报中心发此通告提醒用户和企业尽快采取必要防御措施以保证网络的可用性。

漏洞概要

漏洞描述

XMeye P2P云服务器是一种用于NVR/DVR设备管理的组件，由杭州雄迈公司生产。此组件被发现存在内置硬编码的账号，可被远程通过Web界面登录从而实现非授权的设备管理，所有使用此组件的设备均此安全问题的影响。同时，360威胁情报中心发现设备还存在明显的目录遍历漏洞，攻击者可以读取系统中的任意文件，攻击者可能利用这些问题进一步控制系统获取远程命令执行的能力。

影响面评估

360威胁情报中心已经确认公开的利用方法有效，基于开源网络扫描数据初步评估该漏洞整体影响面大。全球受影响的设备为 30万+，中国受影响的设备数1万+，综合分析威胁等级为 高。

Shodan显示潜在受影响设备数如下：

地理分布范围：

漏洞复现

360威胁情报中心验证的XMeye P2P云服务器相关安全问题如下：

1、通过Web管理界面登录内置硬编码账号

通过浏览器直接访问url，使用硬编码账户即可直接登录视频监控界面。硬编码账户及口令为：default/空口令 或default/tluafed

如下演示：

登录进入后的管理页面：

2、. Web Serve目录遍历漏洞

XMeye P2P云服务器Web Server组件权限配置不当，导致可以遍历目录读取任意文件。以下以尝试访问 /../../../../../proc为例。

如下图：

处置建议

自查方法：

查看XMeye P2P云服务器设备是否开启Web管理，并使用内置账户在Web管理界面尝试登录。若登陆成功，则漏洞存在。

修复方法

升级补丁：

杭州雄迈目前并未就此漏洞发布任何补丁，相关受影响用户请联系杭州雄迈科技及相关厂商获取支持。

临时处置措施：

1. 使用白名单方式限定可访问WEB管理平台的来源IP或关闭WEB管理平台。


2. 本地通过串口修改内置的root账户口令。

参考资料

https://ics-cert.us-cert.gov/advisories/ICSA-18-282-06