发现了一个物联网设备的漏洞,应该怎么处理

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 452 天前的主题，其中的信息可能已经有所发展或是发生改变。

是一种物联网设备的漏洞,直接通过弱密码就能进入系统,是 linux 有 root 权限
通过开 telnet 登进去几十台,全国各地三网设备都有(绝大多数都在 nat 后面),还有些在香港,有些 uptime 有 800 多天,说明还挺稳定
去查过了,厂商已经停止支持,不再更新
我不是什么黑客,这个漏洞是偶然发现的,因为我也有一台一样的设备,后来发现这个漏洞还可以控制其他设备
现在刚上大学,虽然选的就是网络空间安全专业,但是还不是太了解毕竟以前没接触过
各位大神能不能提供点指导?

漏洞

设备

物联网

NAT

34 条回复 • 2023-08-12 18:46:10 +08:00

barbituric

2023-08-11 12:31:09 +08:00 via Android

顺便，有没有变现的可能？如果能赚点钱的话

JF65851a20L5hj7v

2023-08-11 12:32:33 +08:00 via iPhone

工业和信息化部国家互联网信息办公室公安部关于印发网络产品安全漏洞管理规定的通知

工信部联网安〔 2021 〕 66 号

JF65851a20L5hj7v

2023-08-11 12:32:44 +08:00 via iPhone

第九条从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的，应当遵循必要、真实、客观以及有利于防范网络安全风险的原则，并遵守以下规定：
（一）不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息；认为有必要提前发布的，应当与相关网络产品提供者共同评估协商，并向工业和信息化部、公安部报告，由工业和信息化部、公安部组织评估后进行发布。
（二）不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。
（三）不得刻意夸大网络产品安全漏洞的危害和风险，不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。
（四）不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。
（五）在发布网络产品安全漏洞时，应当同步发布修补或者防范措施。
（六）在国家举办重大活动期间，未经公安部同意，不得擅自发布网络产品安全漏洞信息。
（七）不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
（八）法律法规的其他相关规定。

JF65851a20L5hj7v

2023-08-11 12:34:43 +08:00 via iPhone

第十四条违反本规定收集、发布网络产品安全漏洞信息的，由工业和信息化部、公安部依据各自职责依法处理；构成《中华人民共和国网络安全法》第六十二条规定情形的，依照该规定予以处罚。
第十五条利用网络产品安全漏洞从事危害网络安全活动，或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的，由公安机关依法处理；构成《中华人民共和国网络安全法》第六十三条规定情形的，依照该规定予以处罚；构成犯罪的，依法追究刑事责任。

网络安全法

第六十二条违反本法第二十六条规定，开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告；拒不改正或者情节严重的，处一万元以上十万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。

JF65851a20L5hj7v

2023-08-11 12:37:20 +08:00 via iPhone

第六十三条违反本法第二十七条规定，从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。
单位有前款行为的，由公安机关没收违法所得，处十万元以上一百万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
违反本法第二十七条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。

barbituric

2023-08-11 12:41:03 +08:00 via Android

@ReactRails 1.厂商停止支持了 2.我不打算也没能力搞 ddos 攻击之类的

JF65851a20L5hj7v

2023-08-11 12:45:51 +08:00 via iPhone

@barbituric 好啊，去跟警官说，看他让不让你做好人

polaa

2023-08-11 12:52:17 +08:00 via iPhone

提交 cnvd
or
找一些小圈子把漏洞卖了，不过可能不怎么值钱

wusheng0

2023-08-11 13:01:43 +08:00 via Android

当做没看见。

做黑产自己会进去，

当英雄，想想乌云。

yolee599

2023-08-11 13:14:57 +08:00 via Android

破解一些摄像头，门禁机这基本不值什么钱，你要是能破解别人支付系统，直接凭空生钱这种才值钱

maxssy

2023-08-11 13:19:28 +08:00

@wusheng0 乌云也不是啥好货, 有次它破解了我前公司官网的内容管理系统的账号和密码, 打电话张口要 2000, 我们老板觉得官网没啥人看就没给, 结果过了几个月账号和密码公布在了网上

Vraw5

2023-08-11 13:19:28 +08:00

啥都别动，以后也不要再登录其他设备，没厂商了，就更不要去提交漏洞了，你证明不了你没干什么，也当不了好人。

jimmy2010

2023-08-11 13:26:54 +08:00 via Android

@barbituric #1 小伙子你这个想法搞网络安全很危险，我是见过我同事在工位上被带走的，他搞渗透测试的，估计是自己搞了没有授权的渗透。
如果你是说提交到某些厂商的 src 有可能拿到一些奖金，这是可以的，但一般也只接受自家产品的漏洞吧

barbituric

2023-08-11 13:32:31 +08:00 via Android

@jimmy2010 之前只是听说奖金是厂商给的，比如华硕就接受自家的漏洞然后提供奖金。既然生产这个的厂商都不管了，提交到其他地方估计不会管。

unknowsll

2023-08-11 13:35:24 +08:00

提交到 cnvd 吧，或者补天啥的，别想着变现，你这个想法确实不太适合安全行业！！！

preformed

2023-08-11 13:39:05 +08:00

@ReactRails #7 画面感来了
----
@barbituric 早期的物联网设备安全方面基本没做什么工作，都是默认开启 telnet 、ssh 的，密码还都是统一的，估计早就被 mirai 变种控制了。自从 mirai 问世之后这种物联网设备都被人扫遍了，搜下设备型号和密码出货量大容易被控制的设备估计早就泄露过密码或 exp 了

woody3rd

2023-08-11 13:58:54 +08:00

国内好人不好当啊

cat

2023-08-11 14:10:13 +08:00

楼上说的对，厂商没了，你提交给谁都无法改变这个漏洞的存在

TerryRobles

2023-08-11 17:04:48 +08:00

@barbituric 厂商给奖金你敢要吗？记得世纪佳缘吗
物联网有个漏洞很正常，你习惯就好了

mineralsalt

2023-08-11 17:08:34 +08:00

我很想知道这个漏洞, 可以用来做代理啊, 干净的家庭 ip, 太爽了吧, 买代理太贵了

barbituric

2023-08-11 17:11:25 +08:00

@mineralsalt 据我所知很多国外收费的匿名代理,用 usdt 支付,的那种就是这么来的...

barbituric

2023-08-11 17:12:15 +08:00

@TerryRobles 什么事情?求科普,没听说过

TerryRobles

2023-08-11 17:31:14 +08:00

@barbituric 搜索 ”世纪佳缘乌云袁炜“

0x73346b757234

2023-08-11 17:36:01 +08:00

建议你提交 CNVD 或 CNNVD ，如果你还不了解如何提交，可以看这篇文章的介绍：
https://m.freebuf.com/articles/network/317282.html

另外不建议你去卖这个漏洞，它价格很低，并不会给你带来明显的收益。大学期间多报告漏洞、多参与网络安全比赛，把它们变成简历上的本领，会对你找工作带来巨大的好处。

barbituric

2023-08-11 17:37:47 +08:00

@TerryRobles 看明白了,我的理解是没有经过授权不要进行渗透测试