CVE-2026-5574:Technostrobe 未认证文件删除漏洞 漏洞概述 Technostrobe 的 HI-LED-WR120-G2 设备用于管理高大结构物(塔、涡轮机、起重机)的障碍照明。其嵌入式 HTTP Web 服务器的文件管理接口包含一个 AJAX 处理程序,可在无需身份验证的情况下删除设备文件系统中的任意文件。 --- 影响范围 受影响设备 设备:Technostrobe HI-LED-WR120-G2 控制器:MCG-2 (Master Controller Hub) 固件版本:5.5.0.186.03.30 构建日期:Jan 30 2018 攻击后果 删除登录凭证存储 ( ) → 锁定所有合法用户 删除 MQTT 配置 ( ) → 网络运营中心失去设备可见性 删除 Web 管理界面 → 工程师无法访问设备 删除网络配置 ( ) → 设备可能无法访问 删除固件更新文件 → 下次启动时可能变砖 删除日志/审计文件 → 销毁入侵证据 --- POC 代码 基础文件删除请求 删除登录凭证(锁定所有用户) 删除 MQTT 配置 删除整个 Web 界面 --- 漏洞根因 请求参数(全部攻击者可控) 伪代码分析 缺失的安全控制 ❌ 身份验证 (Authentication) ❌ 授权 (Authorization) ❌ 路径规范化 (Path canonicalization) ❌ 可删除目录白名单 (Allowlist of deletable directories) ❌ 审计日志 (Audit logging) --- 攻击场景 场景A:证据销毁 1. 攻击者通过其他漏洞入侵设备 2. 攻击者执行的操作被记录 3. 攻击者通过此端点删除所有日志文件 4. 取证调查人员:无日志,无痕迹 5. 攻击者活动无法归因 场景B:拒绝服务(可用性攻击) 1. 攻击者删除 2. 设备无法再认证任何用户 3. NOC 工程师被锁定在设备外 4. 灯光任何故障状况无法远程修复 5. 需要物理现场访问(塔可能偏远/无法进入) 6. 航空安全灯停机数小时至数天 场景C:文件上传后掩盖痕迹(配合 Bug 0x05) 1. 攻击者上传恶意脚本(Bug 0x05) 2. 脚本执行,攻击者获得 RCE 3. 攻击者通过此端点删除上传的文件 4. Web 根目录无上传痕迹 5. 调查发现设备被入侵但无明显入侵痕迹 --- 组合杀伤链(Bug 2 + 4 + 5 联动) --- 运营技术(OT)影响背景 航空照明合规要求: FAA 70/7460-1K — 定义闪烁频率、颜色、强度 ICAO Annex 14 — 国际障碍照明标准 Transport Canada — 加拿大等效法规 障碍灯被禁用或异常行为的后果: 飞行员夜间/雾天失去塔 proximity 视觉参考 飞机撞塔风险 (CFIT) 塔运营方面临监管处罚 塔可能失去运营许可证 --- 修复方案 页面截图中未显示具体的官方修复方案,但基于漏洞特征,建议: 1. 身份验证:对文件管理接口实施强身份验证 2. 授权检查:验证用户是否有权限删除目标文件 3. 路径规范化:对 参数进行严格的规范化处理 4. 目录限制:限制可删除文件的白名单目录 5. 审计日志:记录所有文件删除操作 6. 输入验证:验证 和 参数,防止目录遍历