2017032821

医疗也疯狂 :德国美诺( Miele )清洁消毒设备被曝目录遍历漏洞

  • 浏览次数 44972
  • 喜欢 0
  • 评分 12345

近日,德国高端家电厂商美诺( Miele )生产的 Professional PG 8528 设备被曝存在 Web 服务器目录遍历漏洞,允许攻击者未经身份验证即可访问 Web 服务器任何目录,漏洞编号为 CVE-2017-7240 。

2017032820

美诺 Professional PG 8528 是一款用于消毒实验室与手术器械的医疗设备。这款设备所采用的嵌入式 Web 服务器PST10 WebServer 主要监听 80 端口,容易遭受目录遍历攻击。非法入侵者可利用该漏洞在 Web 服务器上添加并执行恶意代码以访问敏感信息。

据悉,该漏洞由在德国咨询公司 Schneider & Wulf 任职的 Jens Regel 发现并曾于 2016 年 12 月向美诺提交报告。遗憾的是,对于他的此番举动,厂商并未给予任何回应。四个月后,他决定公开披露该漏洞的概念证明( PoC ),希望引起厂商的足够重视。

Proof of Concept:
=================
~$ telnet 192.168.0.1 80
Trying 192.168.0.1…
Connected to 192.168.0.1.
Escape character ist ‘^]’.
GET /../../../../../../../../../../../../etc/shadow HTTP/1.1 to whatever IP the dishwasher has on the LAN.

原作者:Pierluigi Paganini, 译者:青楚     校对:Liuf
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接

hackernews_foot