Vulnerability-wiki

默认口令漏洞（Default Credentials Vulnerability）

1. 漏洞概述

默认口令漏洞 是指 IoT 设备、嵌入式系统或管理平台出厂时预设了默认账户密码（如 admin/admin、root/123456），且用户未修改或系统未强制修改，从而导致攻击者可直接远程登录并获取控制权限。

此类漏洞在物联网领域尤为常见：

• 智能摄像头、路由器、DVR
• 工控设备（PLC、HMI）
• 智能家电
• 远程管理平台

---

2. 漏洞成因

1. 出厂配置不安全
   • 厂商为了方便测试、维护，在固件中预设通用的默认口令。
2. 用户未更改口令
   • 没有在首次使用时提示或强制修改密码。
3. 弱口令策略缺失
   • 即使用户修改，仍可设置简单口令（如 1234、password）。
4. 隐藏账户
   • 一些厂商在固件中保留了隐藏的维护账户，普通用户无法修改。

---

3. 攻击原理

攻击者通过扫描网络发现 IoT 设备后，尝试登录默认账号：

• 如果厂商使用统一默认口令，攻击者可批量利用。
• 若有隐藏维护账号，可通过固件分析或泄露文档找到凭证。
• 一旦登录成功，攻击者可远程控制设备、提取数据或植入恶意固件。

常用攻击方式：

• 互联网扫描（Shodan、ZoomEye、Masscan）
• 固件反编译（提取 /etc/passwd、配置文件）
• 文档/用户手册泄露
• 爬取公开论坛/知识库

---

4. 常见攻击方式

攻击方式	描述	影响
全网扫描	使用搜索引擎或扫描工具查找开放端口的设备	批量控制 IoT
固件分析	从厂商固件包中提取默认凭证	获取隐蔽账号
Web 管理后台弱防护	HTTP 登录页面无验证码、防爆破	快速猜测口令
Telnet/SSH 暴露	设备暴露远程登录服务，使用默认口令	直接 root 权限

---

5. 危害

• 远程接管设备（摄像头、路由器、工业控制设备）
• 窃取用户隐私（视频流、传感器数据）
• 植入恶意固件（后门、挖矿程序）
• 作为僵尸网络节点（发起 DDoS 攻击）
• 破坏业务连续性（关停工控生产线）

---

6. 典型案例

1. Mirai 僵尸网络（2016）
   • 大量 IoT 设备使用厂商默认口令，被 Mirai 恶意程序扫描接管，发起大规模 DDoS 攻击。
2. 工业路由器入侵事件
   • 黑客利用某型号工业 4G 路由器的默认 admin/admin 账户，远程控制 PLC 设备。
3. 智能摄像头泄露
   • 摄像头出厂默认 admin/12345，用户未修改，导致数十万摄像头视频流被黑客直播。

---

7. 防御措施

1. 出厂不设通用默认口令
   • 每台设备生成唯一随机密码，贴在设备标签或包装内。
2. 强制首次登录修改密码
   • 不修改不能继续使用设备功能。
3. 密码强度要求
   • 长度 ≥ 8 位，包含大小写字母、数字和符号。
4. 移除不必要的账户
   • 禁用维护/调试账户或提供可控启用机制。
5. 限制登录接口
   • 禁止暴露管理端口到公网，启用访问控制列表（ACL）。
6. 防爆破机制
   • 登录失败次数限制、验证码、延迟响应。
7. 固件安全设计
   • 固件中不要硬编码通用凭证，维护账户也要强认证。

---

8. 检测方法

• 网络扫描
  • 使用 Nmap、Masscan 扫描设备端口，尝试登录常见默认口令。
• 固件审计
  • 解包固件，检查 /etc/passwd、配置文件、源码中的明文密码。
• 安全基线检查
  • 检测是否存在未修改的默认账户密码。
• 渗透测试
  • 结合已知默认凭证库（Mirai 口令列表）测试登录。

---

9. 总结

默认口令漏洞的本质是厂商或用户在设备部署阶段没有改变默认认证信息。
在物联网环境中，这种漏洞非常危险，因为：

• 设备部署量大、分布广
• 用户安全意识薄弱
• 设备长期在线且难以更新

防御关键：

• 出厂即随机口令
• 强制修改密码
• 严格访问控制
  否则，整个设备网络可能被批量接管。