发布日期：2000-05-10
更新日期：2000-05-10

受影响系统：

Intel NetStructure 7110 (以前的 Ipivot Commerce Accelerator 1000)

描述：

---

NetStructure 7110 可以通过管理控制口损害系统安全性，即使管理员口令已经从缺
省设置修改过。进入 wizard 模式后，存在未公开的命令列表。在 wizard 模式下，
存在一个 shell 口令，该口令拥有的权限大于 admin 口令拥有的权限，可以完全访
问 NetStructure 7110。shell 口令可以在 admin 帐号命令行接口上使用，也可以在
初始登录提示中代替 admin 口令。

未公开的 shell 口令从 NetStructure 7110 的主网卡MAC地址产生。在启动过程中，
每次登录提示出现前，这个地址都会显示在控制台上。给我们的Ipivot口令产生器
提供该MAC地址，就会得到缺省shell口令。同时更改 shell 口令的机制是未公开的。
shell 口令拥有控制台上的超级权限，可以使用gdb、tcpdump，可以上载任何其他工
具。

NetStructure 7110 最初是 Ipivot 的产品，叫 Commerce Accelerator 1000 。
本问题影响2000年4月发布的 NetStructure 7110 。

a. admin 口令可以被未公开的 shell 口令覆盖。

b. shell 口令由 NetStructure 7110 主网卡MAC地址产生

    NetStructure 7110的绝大多数命令执行过程中，是忽略中断的。然而，口令提
    示部分并没有阻塞中断。如果在口令提示过程中接收到一个中断，重新显示初始
    登录画面，其中包括本机MAC地址。冷启动之后或者发起一个有效会话连接的时
    候，该初始登录画面同样会显示出来。

c. 更改 shell 口令的方法是未公开的。

此外，shell 口令可以通过 admin 帐号重获。正在使用中的配置文件不包括精确的
shell 口令入口，所以直接运行 show config 并不能看到 shell 口令的信息。然而
在用 shpass 命令试图改变 shell 口令的时候，会建立 shell 口令入口，即使修改
口令失败，也会建立入口。接下来运行 show config 命令，就会显示 shell 口令。
整个重获 shell 口令步骤如下：

    1. 输入wizard，进入wizard模式
    2. 运行shpass，试图修改shell口令
    3. 运行show config，显示新的配置信息

这导致所有的 Ipivot/NetStructure 7110 存在未公开的后门，用户可以通过控制口
非法获取超级用户权限，这种权限要大于 admin 帐号所拥有的权限。

另外一些信息表明这个问题相当严重：

    1. Ipivot 负责转换加密过的 https 成未加密的 http
    2. 缺省情况下，Ipivot 上安装了网络监视系统
    3. 用于产生 shell 口令的安全数据源(网卡MAC地址)可以在登录提示中看到
    4. 控制口被推荐挂接一个modem以便远程管理

<* 来源：  www.atstake.com     
           www.L0pht.com
*>




测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

2000-5-15日l0pht将提供测试验证工具：
http://www.l0pht.com/advisories/ipivot.tar.gz

注：今日此文件不存在

建议：

---

Intel已经提供了相应的补丁：
地址是：http://216.188.41.136

建议修复措施：
    1. 第一次登录之后修改 admin 口令
    2. 输入 wizard ，进入 wizard 模式
    3. 运行 shpass 更改 shell 口令。警告，不要将 shell 口令和 cli 口令设置
       成一样。
    4. 输入 config save

    注意：这种wizard 模式在很多计算机安全问题中都存在

浏览次数：6009
严重程度：0（网友投票）