0x01 产品简介

深圳市中科网威科技有限公司成立于深圳市南山科技园信息产业化基地（也有说法称总部位于深圳市福田国际电子商务产业园），是深圳市高新技术企业、双软企业。公司致力于VPN防火墙、流量监控、网络行为管理、ANYSEC安全网关、IT运维设备等前沿网络设备的研发、生产和销售。ANYSEC安全网关是中科网威基于Linux平台自主研发生产的集上网行为管理、流量监控、防火墙、VPN、路由交换、多线路负载均衡等多功能于一体的安全网关产品。其设计目的是将复杂的网络安全防护技术变得普及、简单、易用。

0x02 漏洞概述

中科网威-anysec安全网关 /cgi-bin/system/arping.cgi接口存在远程命令执行漏洞，经过身份验证的恶意攻击者可以利用该漏洞远程执行任意命令，获取系统权限。

0x03 复现环境

FOFA：app="中科网威-anysec"

0x04 漏洞复现

弱口令登录系统

admin/anysec