CVE-2024-30167: Atlona Matrix Switcher 缺陷允许认证用户

执行摘要

Atlona AT-OME-MS42 矩阵切换器中的命令注入漏洞，跟踪编号为 CVE-2024-30167，允许远程经过身份验证的用户以 root 权限执行任意操作系统命令。该漏洞存在于 /cgi-bin/time.cgi 端点，该端点未能清理通过 POST 请求的 serverName 参数传递的用户输入。根据 2026-05-09 发布的 NVD 条目，Atlona 为该问题分配了 CVSS v3.1 基础得分 6.3（中等）。受影响的固件版本为 1.1.2。截至本文撰写时，尚未公开识别出来自 Atlona 的补丁或咨询。

技术分析

AT-OME-MS42 是一种通常部署在会议室、教室和数字标牌安装中的 HDBaseT 矩阵切换器。它为多个 AV 源到多个显示器提供集中切换，通过单根 Cat5e/6 电缆实现。该设备运行一个轻量级的嵌入式 Linux 系统，带有基于 CGI 的 Web 管理界面。

CVE-2024-30167 是一个典型的操作系统命令注入漏洞。/cgi-bin/time.cgi 脚本接受 POST 请求中的 serverName 参数，并且未经清理直接传递给 shell 命令 —— 很可能是调用 ntpdate 或 chronyd，这些命令使用参数构建命令字符串。经过身份验证的攻击者可以注入 shell 元字符（例如，;，|，`，$()）来附加任意命令。由于 CGI 进程以 root 身份运行，注入的命令以完整的系统权限执行。

漏洞需要对 Web 界面进行身份验证。然而，在企业环境中，许多 AV 设备都带有默认凭据（通常是 admin/admin 或空白密码），管理员从未更改。在这种配置中，身份验证要求提供的保护微乎其微。

IBM X-Force Exchange 在 2026-05-09 发布了漏洞详情，指出 serverName 参数是唯一的注入向量。端点可以在以下位置访问：

POST /cgi-bin/time.cgi

并将有效载荷嵌入到 serverName 字段中。尽管没有提到跨站请求伪造（CSRF）保护，但由于身份验证的要求，远程未经身份验证的利用的实际攻击面减少。

缓解措施与建议

防御者应采取以下步骤：

• 立即更改默认凭据。 如果 AT-OME-MS42 仍在使用出厂默认登录凭据，具有管理界面网络访问权限的攻击者可以轻易地进行身份验证并利用 CVE-2024-30167。为管理员账户设置一个强大、独特的密码。
• 限制对管理界面的网络访问。 将矩阵切换器放置在专用的管理 VLAN 或物理隔离的网络段上。不要将 Web 界面暴露给互联网或不受信任的网络区域。使用防火墙规则仅允许来自授权的行政 IP 地址的访问。
• 监控对 /cgi-bin/time.cgi 的异常 POST 请求，这些请求在 serverName 参数中包含 shell 元字符。Web 服务器日志或网络流量数据可以揭示侦察或利用尝试。
• 检查固件更新。 截至本文发布时，Atlona 尚未发布修补的固件版本。监控供应商的支持门户以获取更新。如果没有任何补丁可用，考虑用一个获得支持的替代设备替换该设备，该设备接收安全维护。
• 将 AV 设备从生产网络中分离。 矩阵切换器和其他 AV-over-IP 设备通常缺乏安全加固。将它们视为 IoT 类设备，并将其与敏感系统隔离。