CVE-2021-22825:施耐德电气/APC AP7920B CSRF漏洞分析
时间:2022-03-30 作者:安帝科技
Part1 漏洞状态
Part2 漏洞描述
受影响版本:
带有NMC2的AP7xxxx和AP8xxx:v6.9.6和更早版本
带有NMC3的AP7xxx和AP8xxx:v1.1.0.3和更早版本
带有NMC3的APDU9xxx:v1.0.0.28和更早版本
Part3 漏洞分析
AP7920B PDU通过两个并发秘密处理用户会话,在HTTP cookie标头和HTTP请求的URL内传输以跟踪用户会话的cookie和令牌示例:
AP7920B允许配置“插座(outlet)”用户,该用户可以访问与设备用户相同的菜单(对设备相关屏幕具有读写访问权限),但更改配置、控制设备、删除数据或使用文件传输选项的能力有限。当插座用户登录设备时,将只能查看或控制已分配给插座用户的插座。
Outlet Configuration页面允许用户配置一个外部链接,单击该链接会打开一个新的浏览器窗口。
AP7920B配置页面中的外部链接未使用’rel=”noreferrer”’强化属性或已定义的引荐来源网址策略进行设置,也没有应用程序定义的引用策略。
除非浏览器专门应用了缓解措施(例如,默认情况下使用“strict-origin-when-cross-origin”策略而不是旧的“no-referrer-when-downgrade”策略),否则可能会出现安全问题。用户可以单击应用程序中定义的链接,完整的HTTP Referer标头(包括用户会话令牌)可能会发送到链接的外部域。
用于配置关闭第二个出口的跨域请求示例。
有权访问插座1的插座用户能够在插座配置页面中插入一个链接,使他们能够获得与插座2交互所需的权限。
插座用户可以创建一个任意的“后门”用户,该用户具有从合法管理员单击恶意链接获得的管理权限。
插座用户可以创建一个任意的“后门”用户,该用户具有从合法管理员单击恶意链接获得的管理权限。
Part4 总结
施耐德AP7920B Web应用程序没有设置反CSRF对策的外部链接和操作。外部URL缺乏强化属性,令牌在URL中传输,除了令牌之外,没有其他针对CSRF攻击的保护措施。为了破坏设备,盗用了用户权限的攻击者只需配置一个页面链接,如果更高权限的受害者用户访问该页面,就可以对应用程序采取行动。例如,使用与受害者相同的权限向AP7920B发送跨域GET/POST请求。受害者甚至不会知道成功的利用/攻击已经发生。
Part5 缓解建议
带有NMC2的AP7xxxx和AP8xxx更新固件v7.0.6版本;带有NMC3的AP7xxx、AP8xxx、APDU9xxx更新固件v1.2.0.2版本。
将‘rel=”noreferrer”’所有HTTP链接中的属性添加到Web应用程序的外部资源。
在服务器响应中添加一个限制性的Referrer-Policy HTTP标头(例如,“same-origin”)。
————————————————-
获取更多情报
联系我们,获取更多漏洞情报详情及处置建议,让企业远离漏洞威胁。
电话:18511745601
邮箱:shiliangang@andisec.com