中神通公司技术论坛 - Powered by Discuz! Board

标题: 中国中化集团公司社工思科CISCO VPN系统并可进入大量内网系统 [打印本页]

作者: linda 时间: 2015-10-26 18:48 标题: 中国中化集团公司社工思科CISCO VPN系统并可进入大量内网系统

漏洞概要
缺陷编号：       WooYun-2015-139448
漏洞标题：       中国中化集团公司社工VPN系统并可进入大量内网系统
相关厂商：       中国中化集团公司
漏洞作者：       萨瓦迪卡
提交时间：       2015-09-07 10:01
公开时间：       2015-10-22 10:34
漏洞类型：       成功的入侵事件
危害等级：       高
自评Rank：       20
漏洞状态：厂商已经确认
漏洞来源：       http://www.wooyun.org
Tags标签：安全意识不足
 安全意识不足

漏洞详情披露状态：
2015-09-07：       细节已通知厂商并且等待厂商处理中
2015-09-07：       厂商已经确认，细节仅向厂商公开
2015-09-17：       细节向核心白帽子及相关领域专家公开
2015-09-27：       细节向普通白帽子公开
2015-10-07：       细节向实习白帽子公开
2015-10-22：       细节向公众公开

简要描述：本着友情测试，没有查看泄露任何敏感信息
详细说明：2014年，中化集团的经营业绩和经营质量保持总体稳定，实现营业收入4968亿元、利润总额达113.5亿元，总资产达到3554亿元。像这种央企都是存在VPN移动办公的，又因为企业员工数量庞大，所以结合一定的社工技术，很容易破解大量VPN口令，即可进入内网，然后任意漫游了。

漏洞证明：1、信息收集阶段

ping www.sinochem.com -->211.94.93.165

C端扫描，得到VPN地址-->https://211.94.93.134

2、思科VPN没有防暴力破解，所以第一步架字典，但是尝试几次没有成功。后来想到社工，通过百度企业可能存在的领导班子或者员工，结合弱口令字典爆破，也尝试几次，没有成功，后来统一密码也是社工出来的，由于危害性实在太大，这里不提供VPN账号密码（@刘德树）

大量的子公司的办公系统、财务系统等等。

3、首先通过找到OA系统的一个弱口令，然后进去下载通讯录（大家都知道，批量的弱口令）

邮件系统（记得上次看到财务信息）

4、安装思科VPN客户端工具，即可获取内网IP地址段，通过powerscan扫描

code 区域可访问资源：
10.0.0.0/8
89.0.0.0/8
90.166.0.0/16
192.19.0.0/16
192.192.0.0/16
192.168.2.0/23
192.168.8.0/21
192.168.16.0/20
192.168.32.0/19
192.168.64.0/18
192.168.128.0/17
192.168.1.47/32
192.168.0.130/32
192.168.1.112/32
192.168.1.160/32
192.168.1.33/32
192.168.1.39/32
192.168.1.46/32
192.168.1.51/32
192.168.1.53/32
192.168.1.55/32
192.168.1.56/32
192.168.1.57/32
192.168.1.58/32
192.168.1.58/32
192.168.1.60/32
192.168.1.6/32
192.168.1.7/32
192.168.4.0/24
192.168.5.0/24
192.168.7.0/24
172.16.100.0/24
172.16.101.0/24
172.16.102.0/24
172.16.103.0/24
172.16.104.0/24
172.16.130.0/24
172.16.140.0/24
172.17.65.0/24
172.17.66.0/24
172.17.67.0/24
172.17.68.0/24
172.17.69.0/24
172.17.75.0/24
172.17.1.0/24
172.17.130.0/24
172.16.105.0/24
172.16.107.0/24
172.16.109.0/24
172.16.209.0/24
172.16.47.0/24
30.0.0.0/29
172.17.127.0/24
172.16.1926.0/24
172.24.0.0/16
172.17.201.0/24
172.17.137.0/24
172.17.136.0/24
192.168.1.48/32
172.17.79.0/24
172.17.67.22/32

扫描端口，肯定大量肉鸡可连接，没有深入测试，太可怕了，这种央企大量的商业秘密不在话下。

修复方案：VPN入口杜绝一切弱口令、默认口令；

本着保密原则，如果厂商重视，可以联系本人。

版权声明：转载请注明来源萨瓦迪卡@乌云
漏洞回应
厂商回应：
危害等级：高
漏洞Rank：20
确认时间：2015-09-07 10:33
厂商回复：非常感谢路人的提醒！我们会尽快处理。
最新状态：2015-09-07：我们的口令策略在几周前已经实施，但原有口令的有效期是3个月，因此会有一个过渡时期。

原文：http://www.wooyun.org/bugs/wooyun-2015-0139448

[ 本帖最后由 linda 于 2015-10-27 12:34 编辑 ]

作者: linda 时间: 2015-10-26 18:49 标题: Cisco SSL VPN Bruteforce Login Utility

原文：http://www.rapid7.com/db/modules/auxiliary/scanner/http/cisco_ssl_vpn

This module scans for Cisco SSL VPN web login portals and performs login brute force to identify valid credentials.

Module Name

auxiliary/scanner/http/cisco_ssl_vpn

Authors

Jonathan Claudius <jclaudius [at] trustwave.com>
Reliability

Normal
Development

Source Code
History
Module Options

To display the available options, load the module within the Metasploit console and run the commands 'show options' or 'show advanced':

   msf > use auxiliary/scanner/http/cisco_ssl_vpn
   msf auxiliary(cisco_ssl_vpn) > show actions
         ...actions...
   msf auxiliary(cisco_ssl_vpn) > set ACTION <action-name>
   msf auxiliary(cisco_ssl_vpn) > show options
         ...show and set options...
   msf auxiliary(cisco_ssl_vpn) > run

欢迎光临中神通公司技术论坛 (http://trustcomputing.com.cn/bbs/)