发现了一个物联网设备的漏洞,应该怎么处理

2023-08-11 12:24:26 +08:00
 barbituric
是一种物联网设备的漏洞,直接通过弱密码就能进入系统,是 linux 有 root 权限
通过开 telnet 登进去几十台,全国各地三网设备都有(绝大多数都在 nat 后面),还有些在香港,有些 uptime 有 800 多天,说明还挺稳定
去查过了,厂商已经停止支持,不再更新
我不是什么黑客,这个漏洞是偶然发现的,因为我也有一台一样的设备,后来发现这个漏洞还可以控制其他设备
现在刚上大学,虽然选的就是网络空间安全专业,但是还不是太了解毕竟以前没接触过
各位大神能不能提供点指导?
2942 次点击
所在节点    问与答
34 条回复
barbituric
2023-08-11 12:31:09 +08:00
顺便,有没有变现的可能?如果能赚点钱的话
JF65851a20L5hj7v
2023-08-11 12:32:33 +08:00
工业和信息化部 国家互联网信息办公室 公安部关于印发网络产品安全漏洞管理规定的通知

工信部联网安〔 2021 〕 66 号
JF65851a20L5hj7v
2023-08-11 12:32:44 +08:00
第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:
(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
(二)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。
(三)不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。
(四)不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。
(五)在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。
(六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。
(七)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
(八)法律法规的其他相关规定。
JF65851a20L5hj7v
2023-08-11 12:34:43 +08:00
第十四条 违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十二条规定情形的,依照该规定予以处罚。
第十五条 利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依法处理;构成《中华人民共和国网络安全法》第六十三条规定情形的,依照该规定予以处罚;构成犯罪的,依法追究刑事责任。

网络安全法

第六十二条 违反本法第二十六条规定,开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。
JF65851a20L5hj7v
2023-08-11 12:37:20 +08:00
第六十三条 违反本法第二十七条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。
单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
barbituric
2023-08-11 12:41:03 +08:00
@ReactRails 1.厂商停止支持了 2.我不打算也没能力搞 ddos 攻击之类的
JF65851a20L5hj7v
2023-08-11 12:45:51 +08:00
@barbituric 好啊,去跟警官说,看他让不让你做好人
polaa
2023-08-11 12:52:17 +08:00
提交 cnvd
or
找一些小圈子把漏洞卖了,不过可能不怎么值钱
wusheng0
2023-08-11 13:01:43 +08:00
当做没看见。

做黑产自己会进去,

当英雄,想想乌云。
yolee599
2023-08-11 13:14:57 +08:00
破解一些摄像头,门禁机这基本不值什么钱,你要是能破解别人支付系统,直接凭空生钱这种才值钱
maxssy
2023-08-11 13:19:28 +08:00
@wusheng0 乌云也不是啥好货, 有次它破解了我前公司官网的内容管理系统的账号和密码, 打电话张口要 2000, 我们老板觉得官网没啥人看就没给, 结果过了几个月账号和密码公布在了网上
Vraw5
2023-08-11 13:19:28 +08:00
啥都别动,以后也不要再登录其他设备,没厂商了,就更不要去提交漏洞了,你证明不了你没干什么,也当不了好人。
jimmy2010
2023-08-11 13:26:54 +08:00
@barbituric #1 小伙子你这个想法搞网络安全很危险,我是见过我同事在工位上被带走的,他搞渗透测试的,估计是自己搞了没有授权的渗透。
如果你是说提交到某些厂商的 src 有可能拿到一些奖金,这是可以的,但一般也只接受自家产品的漏洞吧
barbituric
2023-08-11 13:32:31 +08:00
@jimmy2010 之前只是听说奖金是厂商给的,比如华硕就接受自家的漏洞然后提供奖金。既然生产这个的厂商都不管了,提交到其他地方估计不会管。
unknowsll
2023-08-11 13:35:24 +08:00
提交到 cnvd 吧,或者补天啥的,别想着变现,你这个想法确实不太适合安全行业!!!
preformed
2023-08-11 13:39:05 +08:00
@ReactRails #7 画面感来了
----
@barbituric 早期的物联网设备安全方面基本没做什么工作,都是默认开启 telnet 、ssh 的,密码还都是统一的, 估计早就被 mirai 变种控制了。自从 mirai 问世之后这种物联网设备都被人扫遍了,搜下设备型号 和 密码 出货量大容易被控制的设备估计早就泄露过密码或 exp 了
woody3rd
2023-08-11 13:58:54 +08:00
国内好人不好当啊
cat
2023-08-11 14:10:13 +08:00
楼上说的对,厂商没了,你提交给谁都无法改变这个漏洞的存在
TerryRobles
2023-08-11 17:04:48 +08:00
@barbituric 厂商给奖金你敢要吗?记得世纪佳缘吗
物联网有个漏洞很正常,你习惯就好了
mineralsalt
2023-08-11 17:08:34 +08:00
我很想知道这个漏洞, 可以用来做代理啊, 干净的家庭 ip, 太爽了吧, 买代理太贵了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/964404

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX