華為 EnzoH 系統命令注入漏洞概述

2025 年 12 月 3 日，華為在其 EnzoH 系統安全通告中披露了一個嚴重的系統命令注入漏洞，該漏洞允許未授權使用者執行任意系統指令，進而取得完全控制權 (Huawei, 2025)。此漏洞主要影響 EnzoH 5.x 及其相關 SDK，並且在未修補環境中可被遠端攻擊者利用。

漏洞技術細節與風險評估

EnzoH 的 /api/exec 端點在處理用戶輸入時未對特殊字元進行充分過濾，導致攻擊者可注入 shell 指令。例如，透過以下請求可以在目標機器上創建一個 flag 文件：

POST /api/exec HTTP/1.1
Host: enzoh.example.com
Content-Type: application/json

{
  "cmd": "touch /tmp/exploit_flag && cat /etc/passwd"
}

如果該請求成功，攻擊者將能執行任意指令並查看系統敏感資訊，對於內部網路構築、資安合規與資料保護構成直接威脅 (unSafe.sh, 2025)。

影響範圍與潛在威脅

根據華為官方通告，所有未升級至 EnzoH 5.1.2 或以上版本的部署均屬於高風險環境 (Huawei, 2025)。攻擊者可利用此漏洞完成以下行為：

• 取得 root 權限，操縱系統設定
• 竊取機密配置檔與憑證
• 在內部網路中橫向移動，擴大攻擊面

若不及時修補，將對企業數據安全與業務連續性造成不可逆損失 (CNVD, 2025)。

CVE / 漏洞摘要整理

MITRE ATT&CK 對應

• T1059 – Command and Scripting Interpreter (執行階段)
• T1071 – Standard Application Layer Protocol (利用 HTTP API 進行傳輸)

應對措施與修補建議

1. 立即升級：下載並安裝華為提供的 EnzoH 5.1.2 修補包，官方補丁可從 CNVD 补丁库 取得 (CNVD, 2025)。
2. 輸入驗證：在所有 API 入口處實施嚴格白名單檢查，禁止特殊字元（如 ;、&&、| 等）通過。
3. 最小權限原則：將 API 執行用戶權限降至非 root，並使用沙箱環境限制指令執行範圍。
4. 監控與告警：部署 IDS/IPS，針對命令注入相關模式設置告警，並結合 SIEM 進行日誌分析。
5. 安全審核：定期進行程式碼審查與滲透測試，確保所有輸入路徑均已加固。

結論與建議

EnzoH 系統命令注入漏洞的發現突顯了雲端與邊緣運算平台在 API 設計與輸入驗證方面的挑戰。企業在採用華為產品時，應優先評估現行版本的安全通告，並將補丁部署納入日常維護流程。只有在確保輸入驗證、權限分離與即時監控三者俱備的前提下，才能有效抵禦此類高危漏洞的攻擊。

參考資料與原文來源

• 安全通告- 涉及华为EnzoH产品的系统命令注入漏洞 – https://www.huawei.com/cn/psirt/security-advisories/2025/huawei-sa-OCIViHEP-e73ab538 (Huawei, 2025)
• 安全通告- 涉及华为EnzoH产品的系统命令注入漏洞 – https://www.huawei.com/cn/psirt/security-advisories/2025/huawei-sa-OCIViHEP-cn (Huawei, 2025)
• unSafe.sh – Huawei EnzoH操作系统命令注入漏洞（CNVD-2025-23594）的补丁 – https://buaq.net/go-372915.html (unSafe.sh, 2025)
• Huawei EnzoH操作系统命令注入漏洞（CNVD-2025-23594）的补丁 – https://www.cnvd.org.cn/patchInfo/show/742226 (CNVD, 2025)
• Huawei EnzoH操作系统命令注入漏洞（CNVD-2025-23594）… – https://www.cnvd.org.cn/flaw/show/CNVD-2025-23594 (CNVD, 2025)

🧠 本文由 DreamJ AI 技術新聞生成系統 自動撰寫與優化，
內容僅供技術研究與學習參考，實際環境請搭配官方公告與資安建議。