Motion Pro漏洞
字数 2256 2025-08-25 22:58:35

Motion Pro VPN 会话劫持漏洞分析报告

漏洞概述

Motion Pro VPN系统存在严重的安全漏洞,攻击者可以通过两种方式实现会话(Session)盗用,从而非法进入内网。该漏洞影响多个知名机构和企业,包括高校、金融机构和大型企业。

漏洞细节

漏洞类型

  • 会话固定(Session Fixation)
  • 跨站脚本攻击(XSS)
  • 不安全的Cookie处理

漏洞利用方式

方式一:通过JS文件泄露Session ID

  1. 用户登录VPN后访问特定JS文件(如https://ra.xxxx.net/prx/000/http/localh/an_vpn.js)
  2. 该JS文件包含Session ID信息(window._AN_sessionid)
  3. 攻击者可构造恶意网页,通过<script>标签加载此JS文件
  4. 恶意网页可读取并窃取Session ID

示例攻击代码:

<script src="https://ra.xxxx.net/prx/000/http/localh/an_vpn.js"></script>
<script>
    alert(window._AN_sessionid);  // 获取并显示Session ID
    // 可将Session ID发送至攻击者服务器
</script>

方式二:通过代理访问携带VPN域Cookie

  1. 用户通过VPN代理访问外部网站(如https://ra.xxxx.net/prx/000/http/10.8.124.38:8888/sec/vpn.html)
  2. 代理服务器会将目标网页内容拼接在模板后
  3. 所有Cookie可被读写
  4. 请求目标网页会携带VPN域名下的Cookie

影响范围

受影响的机构包括但不限于:

  1. 教育机构:

    • 东华大学: https://vpn.bjtu.edu.cn/prx/000/http/localhost/login/login.html
    • 北京交通大学: https://vpn.bjtu.edu.cn/prx/000/http/localhost/login/login.html
    • 上海外国语大学: https://202.121.96.148/prx/000/http/localhost/login

  2. 金融机构:

    • 长城证券: https://vpn.cgws.com/prx/000/http/localhost/login/download/vpn-guide-for-client1.pdf
    • 中金财富: https://vpn.china-invs.cn/prx/000/http/localhost/login/index.html
    • 方正证券: https://vpn.foundersc.com/prx/000/http/18.100.254.97:8080/vpnlogin/vpnlogin/login.action

  3. 企业机构:

    • 中粮集团: https://landvpn.cofco.com/prx/000/http/localhost/login/login.html
    • 海航协同办公平台: https://www.hnagroup.net/prx/000/http/vpnweb.hnair.com/weblinks.htm
    • 用友集团: https://vpn.yonyou.com/prx/000/http/localhost/login/index.html
    • 阿里云: https://vpn.jbp.aliyun-inc.com/prx/000/http/localhost/login

  4. 其他机构:

    • 香港航空控制系统: https://web.hkairlines.net/prx/000/http/vpn.hka.net/
    • 中国移动: https://emis.chinamobile.com/prx/000/http/sso.hq.cmcc:8080/transvpn/sslvpn.jsp
    • 江苏省电力设计院: https://vpn.jspdi.com.cn/prx/000/http/172.17.16.154/vlogin.jsp

漏洞验证方法

方法一验证步骤

  1. 登录目标VPN系统
  2. 访问/prx/000/http/localh/an_vpn.js路径
  3. 检查返回内容是否包含Session ID信息
  4. 构造测试页面包含上述攻击代码
  5. 验证是否能获取Session ID

方法二验证步骤

  1. 通过VPN代理访问外部网站
  2. 检查请求头中是否包含VPN域名的Cookie
  3. 验证这些Cookie是否可以被外部网页读取

修复建议

  1. Session处理:

    • 避免在JS文件中暴露Session ID
    • 使用HttpOnly标志设置Cookie,防止JavaScript访问
    • 对Session ID进行加密处理

  2. 代理服务:

    • 严格过滤代理请求中的敏感信息
    • 禁止将内部Session信息传递给外部网站
    • 实现内容安全策略(CSP)防止XSS攻击

  3. Cookie安全:

    • 设置Secure标志确保Cookie仅通过HTTPS传输
    • 设置SameSite属性为Strict或Lax
    • 限制Cookie的作用域

  4. 其他措施:

    • 定期轮换Session ID
    • 实现多因素认证
    • 监控异常Session活动

漏洞危害

成功利用此漏洞可导致:

  • 攻击者获取合法用户的VPN会话
  • 未经授权访问内网资源
  • 敏感数据泄露
  • 进一步的内部网络横向移动

时间线

  • 漏洞发现/报告时间: 2020-05-10
  • 浏览热度: 11026次浏览

总结

Motion Pro VPN系统的会话处理机制存在严重缺陷,使得攻击者可以通过多种方式窃取合法用户的会话凭证。由于该产品被众多重要机构使用,漏洞影响范围广泛。建议所有使用该VPN系统的机构立即检查并实施修复措施。

Motion Pro VPN 会话劫持漏洞分析报告 漏洞概述 Motion Pro VPN系统存在严重的安全漏洞,攻击者可以通过两种方式实现会话(Session)盗用,从而非法进入内网。该漏洞影响多个知名机构和企业,包括高校、金融机构和大型企业。 漏洞细节 漏洞类型 会话固定(Session Fixation) 跨站脚本攻击(XSS) 不安全的Cookie处理 漏洞利用方式 方式一:通过JS文件泄露Session ID 用户登录VPN后访问特定JS文件(如 https://ra.xxxx.net/prx/000/http/localh/an_vpn.js ) 该JS文件包含Session ID信息( window._AN_sessionid ) 攻击者可构造恶意网页,通过 <script> 标签加载此JS文件 恶意网页可读取并窃取Session ID 示例攻击代码 : 方式二:通过代理访问携带VPN域Cookie 用户通过VPN代理访问外部网站(如 https://ra.xxxx.net/prx/000/http/10.8.124.38:8888/sec/vpn.html ) 代理服务器会将目标网页内容拼接在模板后 所有Cookie可被读写 请求目标网页会携带VPN域名下的Cookie 影响范围 受影响的机构包括但不限于: 教育机构 : 东华大学: https://vpn.bjtu.edu.cn/prx/000/http/localhost/login/login.html 北京交通大学: https://vpn.bjtu.edu.cn/prx/000/http/localhost/login/login.html 上海外国语大学: https://202.121.96.148/prx/000/http/localhost/login 金融机构 : 长城证券: https://vpn.cgws.com/prx/000/http/localhost/login/download/vpn-guide-for-client1.pdf 中金财富: https://vpn.china-invs.cn/prx/000/http/localhost/login/index.html 方正证券: https://vpn.foundersc.com/prx/000/http/18.100.254.97:8080/vpnlogin/vpnlogin/login.action 企业机构 : 中粮集团: https://landvpn.cofco.com/prx/000/http/localhost/login/login.html 海航协同办公平台: https://www.hnagroup.net/prx/000/http/vpnweb.hnair.com/weblinks.htm 用友集团: https://vpn.yonyou.com/prx/000/http/localhost/login/index.html 阿里云: https://vpn.jbp.aliyun-inc.com/prx/000/http/localhost/login 其他机构 : 香港航空控制系统: https://web.hkairlines.net/prx/000/http/vpn.hka.net/ 中国移动: https://emis.chinamobile.com/prx/000/http/sso.hq.cmcc:8080/transvpn/sslvpn.jsp 江苏省电力设计院: https://vpn.jspdi.com.cn/prx/000/http/172.17.16.154/vlogin.jsp 漏洞验证方法 方法一验证步骤 登录目标VPN系统 访问 /prx/000/http/localh/an_vpn.js 路径 检查返回内容是否包含Session ID信息 构造测试页面包含上述攻击代码 验证是否能获取Session ID 方法二验证步骤 通过VPN代理访问外部网站 检查请求头中是否包含VPN域名的Cookie 验证这些Cookie是否可以被外部网页读取 修复建议 Session处理 : 避免在JS文件中暴露Session ID 使用HttpOnly标志设置Cookie,防止JavaScript访问 对Session ID进行加密处理 代理服务 : 严格过滤代理请求中的敏感信息 禁止将内部Session信息传递给外部网站 实现内容安全策略(CSP)防止XSS攻击 Cookie安全 : 设置Secure标志确保Cookie仅通过HTTPS传输 设置SameSite属性为Strict或Lax 限制Cookie的作用域 其他措施 : 定期轮换Session ID 实现多因素认证 监控异常Session活动 漏洞危害 成功利用此漏洞可导致: 攻击者获取合法用户的VPN会话 未经授权访问内网资源 敏感数据泄露 进一步的内部网络横向移动 时间线 漏洞发现/报告时间: 2020-05-10 浏览热度: 11026次浏览 总结 Motion Pro VPN系统的会话处理机制存在严重缺陷,使得攻击者可以通过多种方式窃取合法用户的会话凭证。由于该产品被众多重要机构使用,漏洞影响范围广泛。建议所有使用该VPN系统的机构立即检查并实施修复措施。