某工控4G路由器存在大量弱口令

最近频繁的出现路由器的漏洞,如思科RV320/325:CVE-2019-1652和CVE-2019-1653,可直接获得配置文件并远程执行命令;MikroTik RouterOS漏洞”by the way”,直接获取用户密码并建立账号登录路由器;CVE-2019-11219:iLnkP2P点对点系统存在安全漏洞数百万IoT设备遭受远程攻击。路由器与物联网设备已经成为信息社会不可缺失的重要基础部分,其安全性也越来越受到重视。

近日研究发现,在国产某某工控4G路由器中存在大量弱口令。

​​

​​

该工业级4G路由器,四LAN口,兼有WIFI传输通道。4G高速蜂窝网络应对远距离传输+近距离组网等复杂的无线通信需求。GPS(可选)、ZigBee(可选)、双无线网络(可选)。

在其官方提供的下载说明中发现其默认密码:admin/admin

​​

​​

对于用户在进行设备安装维护时没用对初始密码进行修改,导致大量暴露在公网上的设备全部处于危险状态,对于由该工控路由器控制的系统设备产生威胁。

在zoomeye中搜索该公司产品,共计有4万台已有设备,中国境内存在大量该设备。

2018年4月20日至21日,主席在全国网络安全和信息化工作会议上曾说:“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障”。为了使国家安全得以保障,对此设备的安全影响进行了进一步的研究,对暴露在公网中的设备进行抓取后进行弱口令的验证,在这里只使用admin/admin默认密码进行身份认证。最终发现其默认密码验证的成功率在50%左右。下图为部分验证成功的设备地址(已做处理)。

​​

​​

可能有人会问为什么要针对这款设备的弱口令大做文章,一方面是最近刚好发现该产品弱口令情况比较严重,提醒大家要注意安全防护意识,此次只用默认密码成功率就高的可怕,可想而知现有其他的暴露在网络中的认证设备会是怎样的情况;另一方面,不得不说该设备为了调试方便做了一些很神奇的功能,身份验证成功后,是如下的界面:

厂商为了调试方便或者管理方便,将控制台写在了网页功能之中,导致所有验证成功的人都可以直接执行命令。

​​

​​

​​

​​

弱口令+控制台命令执行=设备彻底沦陷,最后可以直接进入设备,控制设备。

​​

​​

为了安全起见,在这里就不再进一步说明了,过程中关键步骤与信息也已经略过打码。如有不妥自己心里清楚就行了哈。

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/122790.html<

(0)
管理的头像管理
上一篇2025-02-22 12:26
下一篇 2025-02-22 12:27

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注