微慑信息网

德国美诺( Miele )清洁消毒设备被曝目录遍历漏洞

近日,德国高端家电厂商美诺( Miele )生产的 Professional PG 8528 设备被曝存在 Web 服务器目录遍历漏洞,允许攻击者未经身份验证即可访问 Web 服务器任何目录,漏洞编号为 CVE-2017-7240 。

2017032820

美诺 Professional PG 8528 是一款用于消毒实验室与手术器械的医疗设备。这款设备所采用的嵌入式 Web 服务器PST10 WebServer 主要监听 80 端口,容易遭受目录遍历攻击。非法入侵者可利用该漏洞在 Web 服务器上添加并执行恶意代码以访问敏感信息。

据悉,该漏洞由在德国咨询公司 Schneider & Wulf 任职的 Jens Regel 发现并曾于 2016 年 12 月向美诺提交报告。遗憾的是,对于他的此番举动,厂商并未给予任何回应。四个月后,他决定公开披露该漏洞的概念证明( PoC ),希望引起厂商的足够重视。

Proof of Concept:
=================
~$ telnet 192.168.0.1 80
Trying 192.168.0.1…
Connected to 192.168.0.1.
Escape character ist ‘^]’.
GET /../../../../../../../../../../../../etc/shadow HTTP/1.1 to whatever IP the dishwasher has on the LAN.

 

 

拓展阅读(点评/知识):

德国美诺 Miele 创建于 1899 年,是独立的家族企业,一直致力于为其所有者、员工、客户、供应商以及社会和环境做贡献。

公司专注于制造适用于厨房、洗衣房及用于地板护理的家用电器,以及用于商业运营和医疗设施中的电器(“德国美诺 Miele 专业电器”)。 公司的战略愿景是在所有相关市场中成为最受喜爱的行业品牌。

德国美诺 Miele 致力于为客户提供高质量产品,在产品的耐用性、性能表现、易用性、能量效率、设计和服务方面引领业界标准。 这与创立者 Carl Miele(左)和 Reinhard Zinkann 在德国美诺 Miele 制造的第一台机器上铭刻的理念“Immer besser”(不断超越)相契合;至今仍是德国美诺 Miele 的特色所在。

公司非常注重德国美诺 Miele 的品牌信誉,并始终将其定位于高端市场。 德国美诺 Miele 拥有长远的战略思维和规划、不断传承发展的价值观和目标、与客户和供应商之间的友好关系,以及以员工为本的企业氛围和领导文化。

本文标题:德国美诺( Miele )清洁消毒设备被曝目录遍历漏洞
English Title:German Meinuo (Miele) cleaning and disinfection equipment was traced to a directory traversal vulnerability
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2017/0403_385.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 德国美诺( Miele )清洁消毒设备被曝目录遍历漏洞
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们