防火墙设备默认弱口令风险等，若羌县网信办通报3起网络安全案例

合规社 · 公众号 · · 2025-02-08 20:31

正文

探寻合规之道，共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。

点击 "合规社" > 点击右上角“···” > 设为星标⭐

近日，若羌县互联网信息办公室依据《中华人民共和国网络安全法》《信息安全等级保护管理办法》等法律法规，依法处置一批不履行网络安全保护义务的违法行为。现将3起典型案例通报如下:

案例一：防火墙设备默认弱口令风险

经监测，若羌县某局使用的防火墙设备存在默认弱口令风险。设备的默认账号和密码很容易被攻破。攻击者能够利用这一弱口令轻易入侵设备后台，进行数据破坏和篡改，带来重大安全风险。

若羌县互联网信息办公室要求该局立即更改默认密码，设置复杂密码，并定期进行密码更新。同时，对该局的主要负责人进行了约谈，强调了网络安全的重要性和紧迫性。目前，该局已根据建议完成了密码更改，并提高了设备的安全防护措施。

案例二：Druid未授权访问漏洞

案

经监测，若羌县某中心使用的管理系统存在Druid未授权访问漏洞。Druid监控界面会显示数据源、web应用、url监控、session监控、spring监控等信息，攻击者无需登录即可直接获取这些信息。

若羌县互联网信息办公室已向该中心通报，指导其进行漏洞修补。同时，约谈了该中心的主要负责人，强调了网络安全的重要性，并要求其立即整改。目前，该中心已增加访问Druid的权限，提升了系统的安全性。

案例三：信息泄露漏洞

经监测，若羌县某公司网站存在信息泄露漏洞（CVE-2022-25481）。该漏洞源于ThinkPHP 5.0.24框架的配置问题，由于未正确配置PATHINFO参数，攻击者可以通过访问index.php而获取系统环境参数。

若羌县互联网信息办公室已向该公司发出安全警告，协助其进行漏洞修复和系统加固。同时，约谈了该公司的主要负责人，要求其增强网络安全防护意识，立即采取措施进行整改。目前，该公司已将ThinkPHP框架更新到最新稳定版本，并修复所有相关配置文件。

法条链接：

《中华人民共和国网络安全法》第21条规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行相关安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。