SolarEdge: podatność CSRF i OOB Injection w platformie monitoringu może umożliwić przejęcie sesji

Wprowadzenie do problemu / definicja

W publicznie opisanym zgłoszeniu wskazano na podatność typu Cross-Site Request Forgery połączoną z mechanizmem Out-of-Band Injection w aplikacjach webowych platformy monitoringu SolarEdge. Problem dotyczy endpointu odpowiedzialnego za inicjalizację klienta, który według opisu może akceptować żądania POST bez wystarczającej ochrony przed fałszowaniem żądań wykonywanych w kontekście zalogowanego użytkownika.

W praktyce oznacza to ryzyko wymuszenia określonych działań w przeglądarce ofiary, jeśli posiada ona aktywną sesję w systemie. Dodatkowo możliwość manipulacji wybranymi nagłówkami HTTP może prowadzić do niepożądanych połączeń wychodzących z infrastruktury aplikacji do domen kontrolowanych przez atakującego.

W skrócie

• Podatność dotyczy mechanizmu inicjalizacji klienta w platformie monitoringu SolarEdge.
• Opisany scenariusz łączy CSRF z elementem OOB Injection poprzez nagłówki HTTP.
• Skutkiem może być wykonanie nieautoryzowanych działań w kontekście zalogowanego użytkownika.
• Dodatkowe ryzyko obejmuje zewnętrzną komunikację backendu z infrastrukturą kontrolowaną przez atakującego.
• Problem ma znaczenie szczególnie w środowiskach, gdzie platforma monitoringu jest elementem operacyjnego zarządzania instalacjami.

Kontekst / historia

CSRF od lat pozostaje jedną z najczęstszych klas błędów w aplikacjach webowych. Mechanizm ataku wykorzystuje fakt, że przeglądarka automatycznie dołącza ciasteczka sesyjne do żądań wysyłanych do zaufanej aplikacji. Jeżeli system nie weryfikuje poprawnie pochodzenia żądania, tokena anty-CSRF albo kontekstu operacji, napastnik może skłonić ofiarę do wykonania akcji w jej własnej sesji.

W omawianym przypadku klasyczny wektor CSRF został rozszerzony o element Out-of-Band Injection. To istotne, ponieważ sugeruje możliwość przetwarzania danych wejściowych w taki sposób, że infrastruktura po stronie aplikacji inicjuje połączenia zewnętrzne. W systemach związanych z monitoringiem i zarządzaniem środowiskami energetycznymi nawet pozornie typowy problem webowy może mieć szersze znaczenie operacyjne.

Analiza techniczna

Z opisu wynika, że podatny może być endpoint /solaredge-web/p/initClient, wykorzystywany z parametrem cmd=createCookie. Według zgłoszenia żądanie POST może inicjować lub nadpisywać parametry sesji bez dostatecznej kontroli źródła żądania. W takim scenariuszu samo odwiedzenie złośliwej strony przez zalogowanego użytkownika może wystarczyć do uruchomienia niepożądanej operacji.

Proof-of-concept opiera się na prostym formularzu HTML wysyłanym automatycznie metodą POST przy użyciu JavaScript. To klasyczny model ataku CSRF, ponieważ nie wymaga od ofiary ręcznego wykonywania działań w interfejsie celu poza otwarciem spreparowanej strony.

Drugi element dotyczy nagłówków X-Forwarded-For oraz Referer. W zgłoszeniu wskazano, że ich kontrolowana manipulacja może skutkować połączeniami Out-of-Band wykonywanymi przez backend lub warstwę pośredniczącą. Taki wzorzec może wskazywać na brak odpowiedniej filtracji, normalizacji lub ograniczenia zaufania do danych wejściowych dostarczanych przez klienta.

• potwierdzanie skuteczności exploita przez kanał zewnętrzny,
• mapowanie zachowania backendu i jego zależności sieciowych,
• ujawnianie metadanych o infrastrukturze,
• budowanie dalszych scenariuszy przypominających SSRF lub log injection.

Najbardziej niepokojące są trzy aspekty: brak skutecznej ochrony przed CSRF, możliwość wpływu na stan sesji przez endpoint inicjalizacyjny oraz akceptowanie nieufnych nagłówków HTTP bez ścisłej sanitacji i kontroli.

Konsekwencje / ryzyko

Realny wpływ podatności zależy od poziomu uprawnień ofiary oraz od zakresu operacji dostępnych po inicjalizacji klienta. W najgorszym przypadku atakujący może wykorzystać aktywną sesję operatora lub administratora do przeprowadzenia nieautoryzowanych działań bez wiedzy użytkownika.

Jeżeli platforma monitoringu jest powiązana z konfiguracją systemu, zarządzaniem alarmami, uprawnieniami użytkowników lub nadzorem nad instalacjami fotowoltaicznymi, skutki mogą wyjść poza samą warstwę aplikacji webowej. Dodatkowy komponent OOB zwiększa wagę incydentu, ponieważ pozwala na potwierdzanie exploita i potencjalny wyciek metadanych infrastrukturalnych.

Dla organizacji oznacza to konieczność oceny ryzyka nie tylko na poziomie kont użytkowników, lecz także segmentacji sieci, polityk proxy, monitoringu ruchu wychodzącego oraz systemów telemetrycznych i SIEM.

Rekomendacje

W pierwszej kolejności należy zweryfikować, czy wskazany endpoint rzeczywiście akceptuje żądania zmieniające stan bez pełnej ochrony anty-CSRF. Jeśli tak, konieczne jest wdrożenie wielowarstwowych zabezpieczeń zarówno w aplikacji, jak i na brzegu infrastruktury.

• wdrożenie tokenów anty-CSRF powiązanych z sesją i konkretną operacją,
• walidacja nagłówków Origin i Referer dla akcji wrażliwych,
• stosowanie atrybutów SameSite, HttpOnly i Secure dla ciasteczek sesyjnych,
• ograniczenie metod HTTP i zakresu parametrów dla endpointów inicjalizacyjnych,
• rozdzielenie operacji odczytu od operacji modyfikujących stan aplikacji.

Równolegle wszystkie nagłówki pochodzące od klienta powinny być traktowane jako dane nieufne. Dotyczy to szczególnie nagłówków wykorzystywanych przez reverse proxy, warstwy logowania i komponenty analityczne.

• wprowadzenie listy zaufanych proxy,
• nadpisywanie lub usuwanie nagłówków przekazywanych z internetu na brzegu infrastruktury,
• sanitacja i normalizacja wartości przed logowaniem oraz dalszym przetwarzaniem,
• blokowanie nieuzasadnionych połączeń wychodzących z komponentów aplikacyjnych,
• monitorowanie nietypowych zapytań DNS i HTTP inicjowanych przez backend.

Warto także przeanalizować logi pod kątem nietypowych żądań do endpointu inicjalizacyjnego, obecności obcych domen w nagłówkach oraz śladów wskazujących na próby wymuszenia komunikacji Out-of-Band. Uzupełnieniem powinny być testy bezpieczeństwa skoncentrowane na logice sesji, granicach zaufania i uprawnieniach kont operatorskich.

Podsumowanie

Opisana podatność w platformie monitoringu SolarEdge łączy dwa groźne wzorce ataku: CSRF w mechanizmie inicjalizacji sesji oraz OOB Injection przez nagłówki HTTP. Taka kombinacja zwiększa potencjalny wpływ incydentu, ponieważ może prowadzić zarówno do działań wykonywanych w kontekście zalogowanego użytkownika, jak i do dodatkowych interakcji sieciowych po stronie infrastruktury.

Dla organizacji korzystających z centralnych platform monitoringu to wyraźny sygnał, że należy pilnie zweryfikować ochronę anty-CSRF, model zaufania wobec nagłówków oraz polityki ruchu wychodzącego. Nawet jeśli ostateczny wpływ okaże się ograniczony, sam charakter błędu wskazuje na potrzebę natychmiastowego utwardzenia architektury aplikacyjnej i infrastrukturalnej.

Źródła

• Exploit Database – solaredge – (CSRF-OOB-Injection) – Multiple webapps Exploit
• SolarEdge Monitoring Platform
• OWASP Cross-Site Request Forgery Prevention Cheat Sheet
• OWASP Server Side Request Forgery Prevention Cheat Sheet
• OWASP Secure Headers Project