Signal K Server — это серверное приложение, которое работает в центральном хабе на судне. Версии системы запроса доступа до 2.19.0 имеют две связанные функции, которые в сочетании сами по себе и с уязвимостью раскрытия информации позволяют убедительно атаковать администраторов методом социальной инженерии. Когда устройство создает запрос на доступ, оно указывает три поля: «clientId», «описание» и «разрешения».
Пользовательский интерфейс администратора SignalK отображает поле «описание» на видном месте для администратора при отображении ожидающих запросов, но фактическое поле «разрешения» (которое определяет предоставленный уровень доступа) менее заметно или отображается отдельно. Это позволяет злоумышленнику запросить разрешения администратора, предоставив описание, предлагающее доступ только для чтения. Обработчик запроса доступа доверяет HTTP-заголовку X-Forwarded-For без проверки для определения IP-адреса клиента.
Этот заголовок предназначен для сохранения исходного IP-адреса клиента, когда запросы проходят через обратные прокси-серверы, но при безусловном доверии он позволяет злоумышленникам подделать свой IP-адрес. Поддельный IP-адрес отображается администраторам в интерфейсе утверждения запросов на доступ, что может создать впечатление, что вредоносные запросы исходят с доверенных внутренних сетевых сетевых адресов. Поскольку имена устройств/источников могут быть перечислены с помощью уязвимости раскрытия информации, злоумышленник может выдать себя за законное устройство или источник, создать убедительное описание, подделать доверенный внутренний IP-адрес и запросить повышенные разрешения, создавая весьма убедительный сценарий социальной инженерии, который увеличивает вероятность одобрения администратора.
Чтобы устранить эту проблему, пользователям следует обновиться до версии 2.19.0.
Показать оригинальное описание (EN)
Signal K Server is a server application that runs on a central hub in a boat. Versions prior to 2.19.0 of the access request system have two related features that when combined by themselves and with an information disclosure vulnerability enable convincing social engineering attacks against administrators. When a device creates an access request, it specifies three fields: `clientId`, `description`, and `permissions`. The SignalK admin UI displays the `description` field prominently to the administrator when showing pending requests, but the actual `permissions` field (which determines the access level granted) is less visible or displayed separately. This allows an attacker to request `admin` permissions while providing a description that suggests readonly access. The access request handler trusts the `X-Forwarded-For` HTTP header without validation to determine the client's IP address. This header is intended to preserve the original client IP when requests pass through reverse proxies, but when trusted unconditionally, it allows attackers to spoof their IP address. The spoofed IP is displayed to administrators in the access request approval interface, potentially making malicious requests appear to originate from trusted internal network addresses. Since device/source names can be enumerated via the information disclosure vulnerability, an attacker can impersonate a legitimate device or source, craft a convincing description, spoof a trusted internal IP address, and request elevated permissions, creating a highly convincing social engineering scenario that increases the likelihood of administrator approval. Users should upgrade to version 2.19.0 to fix this issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 5
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Signalk Signal_K_Server
cpe:2.3:a:signalk:signal_k_server:*:*:*:*:*:*:*:*
|
— |
2.19.0
|
|
Signalk Signal_K_Server
cpe:2.3:a:signalk:signal_k_server:2.19.0:beta1:*:*:*:*:*:*
|
— | — |
|
Signalk Signal_K_Server
cpe:2.3:a:signalk:signal_k_server:2.19.0:beta2:*:*:*:*:*:*
|
— | — |
|
Signalk Signal_K_Server
cpe:2.3:a:signalk:signal_k_server:2.19.0:beta3:*:*:*:*:*:*
|
— | — |
|
Signalk Signal_K_Server
cpe:2.3:a:signalk:signal_k_server:2.19.0:beta4:*:*:*:*:*:*
|
— | — |