V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
barbituric
V2EX  ›  问与答

发现了一个物联网设备的漏洞,应该怎么处理

  •  1
     
  •   barbituric · 2023-08-11 12:24:26 +08:00 · 2937 次点击
    这是一个创建于 474 天前的主题,其中的信息可能已经有所发展或是发生改变。
    是一种物联网设备的漏洞,直接通过弱密码就能进入系统,是 linux 有 root 权限
    通过开 telnet 登进去几十台,全国各地三网设备都有(绝大多数都在 nat 后面),还有些在香港,有些 uptime 有 800 多天,说明还挺稳定
    去查过了,厂商已经停止支持,不再更新
    我不是什么黑客,这个漏洞是偶然发现的,因为我也有一台一样的设备,后来发现这个漏洞还可以控制其他设备
    现在刚上大学,虽然选的就是网络空间安全专业,但是还不是太了解毕竟以前没接触过
    各位大神能不能提供点指导?
    34 条回复    2023-08-12 18:46:10 +08:00
    barbituric
        1
    barbituric  
    OP
       2023-08-11 12:31:09 +08:00 via Android
    顺便,有没有变现的可能?如果能赚点钱的话
    JF65851a20L5hj7v
        2
    JF65851a20L5hj7v  
       2023-08-11 12:32:33 +08:00 via iPhone
    工业和信息化部 国家互联网信息办公室 公安部关于印发网络产品安全漏洞管理规定的通知

    工信部联网安〔 2021 〕 66 号
    JF65851a20L5hj7v
        3
    JF65851a20L5hj7v  
       2023-08-11 12:32:44 +08:00 via iPhone
    第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:
    (一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
    (二)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。
    (三)不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。
    (四)不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。
    (五)在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。
    (六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。
    (七)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
    (八)法律法规的其他相关规定。
    JF65851a20L5hj7v
        4
    JF65851a20L5hj7v  
       2023-08-11 12:34:43 +08:00 via iPhone
    第十四条 违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十二条规定情形的,依照该规定予以处罚。
    第十五条 利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依法处理;构成《中华人民共和国网络安全法》第六十三条规定情形的,依照该规定予以处罚;构成犯罪的,依法追究刑事责任。

    网络安全法

    第六十二条 违反本法第二十六条规定,开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。
    JF65851a20L5hj7v
        5
    JF65851a20L5hj7v  
       2023-08-11 12:37:20 +08:00 via iPhone
    第六十三条 违反本法第二十七条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。
    单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
    违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
    barbituric
        6
    barbituric  
    OP
       2023-08-11 12:41:03 +08:00 via Android
    @ReactRails 1.厂商停止支持了 2.我不打算也没能力搞 ddos 攻击之类的
    JF65851a20L5hj7v
        7
    JF65851a20L5hj7v  
       2023-08-11 12:45:51 +08:00 via iPhone   ❤️ 3
    @barbituric 好啊,去跟警官说,看他让不让你做好人
    polaa
        8
    polaa  
       2023-08-11 12:52:17 +08:00 via iPhone
    提交 cnvd
    or
    找一些小圈子把漏洞卖了,不过可能不怎么值钱
    wusheng0
        9
    wusheng0  
       2023-08-11 13:01:43 +08:00 via Android
    当做没看见。

    做黑产自己会进去,

    当英雄,想想乌云。
    yolee599
        10
    yolee599  
       2023-08-11 13:14:57 +08:00 via Android
    破解一些摄像头,门禁机这基本不值什么钱,你要是能破解别人支付系统,直接凭空生钱这种才值钱
    maxssy
        11
    maxssy  
       2023-08-11 13:19:28 +08:00
    @wusheng0 乌云也不是啥好货, 有次它破解了我前公司官网的内容管理系统的账号和密码, 打电话张口要 2000, 我们老板觉得官网没啥人看就没给, 结果过了几个月账号和密码公布在了网上
    Vraw5
        12
    Vraw5  
       2023-08-11 13:19:28 +08:00   ❤️ 2
    啥都别动,以后也不要再登录其他设备,没厂商了,就更不要去提交漏洞了,你证明不了你没干什么,也当不了好人。
    jimmy2010
        13
    jimmy2010  
       2023-08-11 13:26:54 +08:00 via Android   ❤️ 1
    @barbituric #1 小伙子你这个想法搞网络安全很危险,我是见过我同事在工位上被带走的,他搞渗透测试的,估计是自己搞了没有授权的渗透。
    如果你是说提交到某些厂商的 src 有可能拿到一些奖金,这是可以的,但一般也只接受自家产品的漏洞吧
    barbituric
        14
    barbituric  
    OP
       2023-08-11 13:32:31 +08:00 via Android
    @jimmy2010 之前只是听说奖金是厂商给的,比如华硕就接受自家的漏洞然后提供奖金。既然生产这个的厂商都不管了,提交到其他地方估计不会管。
    unknowsll
        15
    unknowsll  
       2023-08-11 13:35:24 +08:00
    提交到 cnvd 吧,或者补天啥的,别想着变现,你这个想法确实不太适合安全行业!!!
    preformed
        16
    preformed  
       2023-08-11 13:39:05 +08:00
    @ReactRails #7 画面感来了
    ----
    @barbituric 早期的物联网设备安全方面基本没做什么工作,都是默认开启 telnet 、ssh 的,密码还都是统一的, 估计早就被 mirai 变种控制了。自从 mirai 问世之后这种物联网设备都被人扫遍了,搜下设备型号 和 密码 出货量大容易被控制的设备估计早就泄露过密码或 exp 了
    woody3rd
        17
    woody3rd  
       2023-08-11 13:58:54 +08:00
    国内好人不好当啊
    cat
        18
    cat  
       2023-08-11 14:10:13 +08:00
    楼上说的对,厂商没了,你提交给谁都无法改变这个漏洞的存在
    TerryRobles
        19
    TerryRobles  
       2023-08-11 17:04:48 +08:00
    @barbituric 厂商给奖金你敢要吗?记得世纪佳缘吗
    物联网有个漏洞很正常,你习惯就好了
    mineralsalt
        20
    mineralsalt  
       2023-08-11 17:08:34 +08:00
    我很想知道这个漏洞, 可以用来做代理啊, 干净的家庭 ip, 太爽了吧, 买代理太贵了
    barbituric
        21
    barbituric  
    OP
       2023-08-11 17:11:25 +08:00
    @mineralsalt 据我所知很多国外收费的匿名代理,用 usdt 支付,的那种就是这么来的...
    barbituric
        22
    barbituric  
    OP
       2023-08-11 17:12:15 +08:00
    @TerryRobles 什么事情?求科普,没听说过
    TerryRobles
        23
    TerryRobles  
       2023-08-11 17:31:14 +08:00   ❤️ 2
    @barbituric 搜索 ”世纪佳缘 乌云 袁炜“
    0x73346b757234
        24
    0x73346b757234  
       2023-08-11 17:36:01 +08:00   ❤️ 2
    建议你提交 CNVD 或 CNNVD ,如果你还不了解如何提交,可以看这篇文章的介绍:
    https://m.freebuf.com/articles/network/317282.html

    另外不建议你去卖这个漏洞,它价格很低,并不会给你带来明显的收益。大学期间多报告漏洞、多参与网络安全比赛,把它们变成简历上的本领,会对你找工作带来巨大的好处。
    barbituric
        25
    barbituric  
    OP
       2023-08-11 17:37:47 +08:00
    @TerryRobles 看明白了,我的理解是没有经过授权不要进行渗透测试
    jackOff
        26
    jackOff  
       2023-08-11 20:52:36 +08:00 via Android
    卖给第三方
    paopjian
        27
    paopjian  
       2023-08-11 21:38:02 +08:00
    感觉直接找 360 没准还有奖励
    opengps
        28
    opengps  
       2023-08-11 22:51:30 +08:00
    作为 0day 封存吧,不是所有人都能把资源发挥出价值
    ohayoo
        29
    ohayoo  
       2023-08-11 22:54:10 +08:00 via Android
    上传到什么补天还是啥子的平台不是有钱嘛
    shalingye
        30
    shalingye  
       2023-08-12 01:19:38 +08:00 via Android
    时机未到,留着以后有机会再用,急什么
    proxytoworld
        31
    proxytoworld  
       2023-08-12 01:28:34 +08:00
    交 cnvd ,卖 cnvd 证书
    proxytoworld
        32
    proxytoworld  
       2023-08-12 01:28:58 +08:00
    不过弱密码其实不算漏洞。。
    Ericcccccccc
        33
    Ericcccccccc  
       2023-08-12 01:29:08 +08:00
    直接报警

    其它渠道被发现你都是直接坐牢
    azio7
        34
    azio7  
       2023-08-12 18:46:10 +08:00
    好多未授权接口的洞 cve 都不给,telnet 弱密码估计评不上啥,不知道那些 src 收不收
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5932 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 01:56 · PVG 09:56 · LAX 17:56 · JFK 20:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.