SOAPwn：.NET框架HTTP客户端代理与WSDL中的致命缺陷

🔓 Critical 漏洞利用

攻击者利用.NET框架中`HttpWebClientProtocol`类的类型转换缺失漏洞，通过控制SOAP客户端代理的URL参数，可触发任意文件读取或远程代码执行。该漏洞影响多个企业级应用，包括Barracuda Service Center RMM（CVE-2025-34392）和Ivanti Endpoint Manager（CVE-2025-13659），且已发现预认证利用链。

来源：watchTowr Labs | 0 | 原文链接

🔍 关键发现

• .NET框架的`WebRequest.Create`方法未对返回的请求对象进行类型检查，允许通过`file://`等非HTTP协议加载本地文件。
• `SoapHttpClientProtocol`等代理类继承自`HttpWebClientProtocol`，其`GetWebRequest`方法未将结果强制转换为`HttpWebRequest`，导致可被利用。
• 攻击者可通过操纵WSDL或SOAP请求中的URL，触发文件读取或命令执行，影响Barracuda、Ivanti、Umbraco等产品。

⚔️ 攻击链分析

攻击者构造恶意SOAP请求或WSDL文件，其中包含`file://`或`ftp://`等非HTTP协议URL。.NET框架的`WebRequest.Create`根据URL协议返回`FileWebRequest`等对象，绕过HTTP限制。代理类尝试将其转换为`HttpWebRequest`失败，但返回的`FileWebRequest`仍可被调用，导致任意文件读取或代码执行。

🚩 失陷指标 (IOC)

• SOAP请求中包含`file:///`或`ftp://`等非标准URL协议。
• WSDL文件中出现``等异常元素。
• HTTP响应中包含本地文件内容（如`/Windows/win.ini`）或异常错误信息。

🛡️ 缓解建议

• ✅ 更新受影响产品至最新版本：Barracuda Service Center RMM需安装hotfix 2025.1.1，Ivanti EPM需应用CVE-2025-13659补丁。
• ✅ 在代码层面，对`WebRequest.Create`的返回值进行显式类型转换，并验证URL协议必须为`http`或`https`。
• ✅ 实施网络层过滤，阻止出站请求到`file://`和`ftp://`等非HTTP协议。

涉及漏洞：["CVE-2025-34392""CVE-2025-13659"]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。