漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-022857
漏洞标题:10W+中国造血干细胞捐献者资料泄露(CCTV诸多著名主持人中枪)
相关厂商:中国红十字会
漏洞作者: Z-0ne
提交时间:2013-05-01 09:20
修复时间:2013-06-15 09:20
公开时间:2013-06-15 09:20
漏洞类型:系统/服务运维配置不当
危害等级:高
自评Rank:12
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-05-01: 细节已通知厂商并且等待厂商处理中
2013-05-05: 厂商已经确认,细节仅向厂商公开
2013-05-15: 细节向核心白帽子及相关领域专家公开
2013-05-25: 细节向普通白帽子公开
2013-06-04: 细节向实习白帽子公开
2013-06-15: 细节向公众公开
简要描述:
其包含捐献者的个人详细信息,亲友信息,献血,HLA资料,捐献者登记电子扫描版文档等,CCTV主持人鞠萍,王小丫,康辉,倪萍,姚明等公众人物更是统统躺着中枪(http://www.cmdp.com.cn/cmdpboard.do?method=showContent&unmenu=1&parentId=6&boardId=62&id=2287),话说这种资料真是毫无利用价值?还是管理员对服务器安全的淡漠?更甚至是服务器之前都已经有了明显的入侵痕迹管理员都没发现?
献了血自己的个人资料还有被泄露的风险,真心不靠谱哇。。。。。
有图有真相 :-)
详细说明:
1,系统地址还是通过私信抄送给cncert
2,太不靠谱了,还是无语的IIS写入,如图,此前已有入侵痕迹
3,服务器弱口令直接测漏
除了敏感数据,在上面给捐献者集体发送短信也是可以的,至于其中的敏感信息就不一一列举了,深入一下的话可能波及上百万的总库
4,继续,如下图,我们可以看到外链了一个数据库,不过该数据库并未在上述系统中使用
5,用IP反查了域名,发现主站以及其他几个站在该IP上,外链上数据库的同时,也发现有捐献者资料的备份库,如下图
6,用弱口令上了管理中心主站的后台,在使用FCK编辑器浏览上传时,瞬间斯巴达了,早被各位大神搞了,这里提一下,由于WEB server是IIS7,可能导致攻击者进行了多次上传测试,具体情况还是cncert自己评估吧
7,顺便看了一下其他几站,灾情同样如此
8,最后集体沦陷,顺便看了一下,各种后门
漏洞证明:
修复方案:
禁用IIS上的不必要的功能
排查后门
健壮系统、后台密码
FCKeditor请阉割完整
版权声明:转载请注明来源 Z-0ne@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2013-05-05 23:38
厂商回复:
最新状态:
暂无