启明天融信等安全设备弱口令

漏洞概要

缺陷编号:WooYun-2012-06482

漏洞标题:启明天融信等安全设备弱口令

相关厂商:绿盟、启明、天融信等

漏洞作者:守望

提交时间:2012-04-28 12:30

公开时间:2012-04-28 12:30

漏洞类型:基础设施弱口令

危害等级:高

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2012-04-28: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-04-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

绿盟等边界安全设备存在出厂弱口令,对用户网络构成巨大风险。

详细说明:

天融信

启明

绿盟

漏洞证明:

修复方案:

你们肯定有办法

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:3 (WooYun评价)

评价

  1. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    启明星辰第一时间联系了乌云组织,非常感谢乌云组织的善意提醒。启明星辰在产品交付给用户同时提示用户修改缺省口令,乌云组织这次提醒进一步说明还是有部分用户安全意识还不够强。
    后续计划:启明星辰一方面会给用户通过电话、邮件等方式进行进一步提醒,另一方面启明星辰也会通过技术手段改进新版本的密码保护措施。

  2. 2010-01-01 00:00 Passer_by 白帽子 | Rank:94 漏洞数:18)

    这个不是漏洞,是用户没有改默认口令吧?

  3. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @Passer_by 默认口令应该随机化的,你看现在的windows还有一些社区程序都没有内置口令了

  4. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    非常感谢守望和乌云关于默认口令问题的提醒。绿盟科技相关网络产品的安装手册中建议用户在登录后立即修改默认密码,但实际使用中仍然有些用户没有修改默认密码。绿盟科技已经通知各地工程师紧急电话联系客户,提醒客户及时修改默认密码。后续将在产品中强制用户在首次登录时修改默认密码并保证必要的密码强度。