关键信息 漏洞标题: Selea Targa IP OCR-ANPR Camera Unauthenticated SSRF Advisory ID: ZSL-2021-5617 类型: Local/Remote 影响: Exposure of System Information 风险: 3/5 发布日期: 21.01.2021 摘要 IP相机具有光学字符识别(OCR)软件,用于自动车牌识别(ANPR),还配备了ADR系统,可以读取任何车辆在自由流动模式下捕获的危险识别号(H-IN,也称为Kennel Code)和UN编号。TARGA在高速条件下准确读取大量行驶中的车辆牌照方面表现出色。其内置的OCR软件作为一个独立的系统工作,无需计算机,因此即使在摄像机和操作中心之间的连接中断时也能为设备提供自主性。 描述 Selea ANPR相机内的服务器端请求伪造(SSRF)漏洞未经身份验证。应用程序进程支持POST JSON方法“/api/set”以构造图像请求进行IP通知。由于对参数没有执行验证,攻击者可以指定外部域并强制应用程序向任意目标主机发出HTTP请求。这可以被内部攻击者利用,例如绕过防火墙并初始化服务和网络枚举通过受影响的应用程序访问内部网络。 厂商 Selea s.r.l. - 影响版本 Model: iZero Targa 512 Targa 504 Targa SmartIce Targa 604 TKM Targa 605 Targa 710 (INOX) Targa 704 Targa 704 ILS Firmware versions: - BLD2011061113005214 - BLD201006304170801 - BLD200906304170801 - BLD20090303143345 - BLD2019118145435 - BLD20191202180140 - CPS_4.0.13(201005) - 3.1.00(201005) - 2.00E(201206) - 2.00B(201112) 测试环境 GNU/Linux x86_64 3.10.53 (armv?) PHP 5.6.22 selea_httpd HttpServer v1.1 SeleiaCPSHttpServer v1.1 厂商状态 [07.11.2020] 漏洞被发现。 [09.11.2020] 联系厂商。 [09.11.2020] 厂商回复询问解释。 [09.11.2020] 向厂商询问安全人员并解释关于安全提交和风险影响。 [10.11.2020] 收到厂商回复。 [11.11.2020] 发送详细信息给厂商(高级别,要求PGP)。 [14.11.2020] 向厂商询问状态更新。 [18.11.2020] 厂商确认漏洞并修复了您描述的大多数漏洞在新版本中相机固件和CarPlateReader软件。 [19.11.2020] 回复厂商。 [06.12.2020] 向厂商询问状态更新。 [06.12.2020] 厂商回复。 [09.12.2020] 向厂商询问状态更新。 [17.01.2021] 向厂商询问状态更新。 [20.01.2021] 厂商回复。 [21.01.2021] 公共安全公告发布。 PoC seleaanpr_ssrf.txt 致谢 漏洞由Gjoko Krstic发现 - 参考文献 1. 2. 3. 4.