FLIR-AX8热像仪漏洞分析与复现

前段时间正好分析了下FLIR-AX8热像仪，下面做一下分析过程的回顾。

首先简单了解下设备。

设备简介

FLIR-AX8是美国菲力尔公司（Teledyne FLIR）旗下的一款工业红外热像仪AX8，英文名为Teledyne FLIR AX8 thermal sensor cameras。菲力尔公司专注于设计、开发、生产、营销和推广用于增强态势感知力的专业技术，通过热成像、可见光成像、视频分析、测量和诊断以及先进的威胁检测系统，将创新的传感解决方案带入日常生活中，广泛服务于政府与国防、工业和商业市场。

AX8这款设备尺寸小巧，价格经济实惠，将红外热像仪和可见光相机合二为一，提供连续温度监控和报警功能，能持续监测配电柜、加工和制造区域、数据中心、发电和配电设施、运输和公共交通，仓储设施和冷库。

历史漏洞

为了后续cve提交不产生重复，同时快速的了解这款设备，我选择从已有漏洞入手，通过cve-list查看存在的漏洞。

固件下载及解包

官网下载地址为 https://flir.custhelp.com/app/account/fl_download_software

解包命令为

unsquashfs?-f?flir-image-nettan-neco.squashfs-xz

文件系统目录如下

aufs??bin??boot??dev??etc??FLIR??home??lib??media??mnt??proc??run??sbin??sys??tmp??usr??var??www

本以为web是在/www目录下，其实不然，web在/FLIR/usr/www目录下，目录结构为

├──?application
│???├──?config
│???├──?controller
│???├──?libs
│???├──?models
│???└──?views
├──?download.php
├──?FLIR
│???├──?db
│???├──?images
│???├──?upload
│???└──?videos
├──?index.php
├──?palette.php
├──?prod.php
├──?public
│???├──?audio
│???├──?css
│???├──?img
│???└──?js
├──?res.php
├──?snapshot.jpg
├──?src
│???├──?Communicator
│???├──?Controller
│???├──?Model
│???├──?ResourceTree
│???└──?ValueObject
├──?tools
│???├──?create_database.php
│???├──?debug_database.php
│???└──?test_login.php
├──?upload.php
├──?vendor
│???├──?autoload.php
│???├──?composer
│???├──?dflydev
│???├──?nikic
│???├──?pimple
│???├──?psr
│???└──?zendframework
└──?websocket.php

很明显，管理端的web是php写的。

CVE-2022-37061 漏洞分析与复现

漏洞信息

FLIR AX8 版本 1.46.16 及以下未经身份验证的远程操作系统命令注入漏洞。res.php 页面中的 id 参数可以通过命令拼接，以 root 用户身份注入和执行任意 shell 命令，成功的利用可能允许攻击者以 root 权限在底层操作系统上执行任意命令。

受影响版本：1.46.16及以下

漏洞分析

FLIR AX8 安装完毕后，可以通过 http://ip/login/ 访问其web服务。界面如下：

默认管理密码为admin:admin

漏洞存在于res.php文件中，调用shell_exec 函数时有未经处理的 HTTP GET/POST 参数 ，这可以被利用来注入任意 系统命令并获得远程代码执行。

故通过"action=alarm"以及"id=1;{cmd}"即可执行cmd命令。

漏洞复现

总结

这个漏洞比较基础，是一个非常简单的php命令拼接漏洞，无意间看到漏洞一线情报报告了这个洞就试着复现了一下，完整完成了一整个设备的研究，同时也了解了热像仪以及ITC相关产业，收获还是有的。