CVE-2025-34469Cowrie是一个开源的交互式中等交互SSH和Telnet蜜罐,用于记录攻击者的暴力登录尝试和shell交互行为。该漏洞存在于Cowrie的模拟shell实现中的wget和curl命令仿真模块。Cowrie通过模拟这些常见工具来增强蜜罐的真实性,但默认配置下这些命令仿真会发起真实的外向HTTP请求。在2.9.0之前的版本中,由于未对外向请求施加任何速率限制,攻击者可以无限制地反复调用这些命令,向任意第三方目标生成无上限的HTTP流量。这使得Cowrie蜜罐被滥用为DDoS放大节点,同时掩盖了攻击者的真实来源IP地址。该漏洞的CVSS评分为7.5,属于高危级别,对互联网安全构成严重威胁。
Cowrie蜜罐在模拟shell环境中实现了wget和curl命令,以模拟真实的Linux系统行为。然而,其实现存在严重的安全缺陷:1) 模拟的wget和curl命令会发起真实的网络HTTP请求,而非仅做模拟响应;2) 缺少对请求目标的验证和过滤,允许攻击者指定任意URL作为目标;3) 未实现任何速率限制机制,攻击者可无限制发送请求;4) 请求通过蜜罐服务器IP地址发出,攻击者真实IP被隐藏。攻击者通过SSH/Telnet连接蜜罐后,执行类似 wget http://target-website.com/index.html 或 curl http://victim-server.com/api/endpoint 的命令,蜜罐会代替攻击者向目标发起真实HTTP请求。由于蜜罐通常部署在高带宽网络中,攻击者可利用其进行DDoS攻击或端口扫描,而所有流量都显示来自蜜罐IP。