CVE-2018-25152CVE-2018-25152是Ecessa Edge EV150设备中存在的跨站请求伪造(CSRF)漏洞。该漏洞影响固件版本10.7.4,允许未经身份验证的攻击者通过构造恶意网页,在目标用户不知情的情况下,向受影响设备提交恶意请求,从而创建具有完全管理员权限的超级用户账户。攻击者利用此漏洞可以完全控制受影响设备,获取网络基础设施的完全访问权限,执行任意配置更改,甚至可能将设备纳入僵尸网络用于进一步的攻击活动。由于该漏洞无需任何认证即可利用,且攻击复杂度较低,对使用Ecessa Edge EV150设备的组织构成严重安全风险。攻击者通常会诱骗设备管理员访问包含恶意表单的网页,当管理员浏览器自动向设备提交预先构造的请求时,即可在设备上创建新的管理员账户。
该漏洞存在于Ecessa Edge EV150的Web管理界面中,具体涉及/cgi-bin/pl_web.cgi/util_configlogin_act端点。漏洞的根本原因在于该端点缺少有效的CSRF令牌验证机制,无法验证请求是否来自合法的用户会话。攻击者可以构造一个HTML页面,包含自动提交的表单,表单参数指定目标设备的IP地址、期望的用户名和密码。当设备管理员访问该恶意页面时,浏览器会自动向目标的/cgi-bin/pl_web.cgi/util_configlogin_act端点发送POST请求。由于浏览器的同源策略,Cookie会自动随请求发送,而目标设备无法区分该请求是来自管理界面的正常操作还是来自第三方网站的恶意请求。攻击者可以利用此漏洞创建任意权限级别的用户账户,包括具有完全控制权限的超级用户账户。成功利用后,攻击者获得设备的管理员访问权限,可以修改防火墙规则、VPN配置、网络路由等关键安全设置。