2014-03-10:细节已通知厂商并且等待厂商处理中
2014-03-13:厂商已经确认,细节仅向厂商公开
2014-03-16:细节向第三方安全合作伙伴开放
2014-03-23:细节向核心白帽子及相关领域专家公开
2014-04-02:细节向普通白帽子公开
2014-04-22:细节向实习白帽子公开
2014-06-08:细节向公众公开
中兴通讯股份有限公司多款型号OLT设备存在安全风险,OLT在pon网络中占据重要位置,随着pon的普及,被恶意利用的话,该洞“可以引起重大互联网影响”。
详细说明:经测试,中兴通讯股份有限公司至少有C220、C300两种型号OLT设备,默认开放9999 DebugShell端口,未作任何访问控制 ,使用密码zxr10可远程登录(测试发现改密码两种型号通用),考虑到现网中OLT重要性,没有进一步测试。
漏洞证明:经测试,中兴通讯股份有限公司至少有C220、C300两种型号OLT设备,默认是开启9999端口,该端口为 DebugShell,使用通用密码zxr10可远程登录,考虑到现网中OLT重要性,没有进一步测试。
C300截图:
C220截图:
都到现网了,就关了DebugShell吧,要不咱改个密码,可好?!
版权声明:转载请注明来源 LeadUrLife@乌云 漏洞回应 厂商回应:危害等级:高
漏洞Rank:15
确认时间:2014-03-13 08:53
厂商回复:感谢关注,已经安排工程师修复,谢谢
最新状态:暂无