前言：當智慧家電成為駭客的後門

隨著 IoT 設備在家庭與企業環境的普及，嵌入式系統的安全性日益受到關注。2024 年 11 月，華為（Huawei）針對其旗艦級產品 「全屋音樂主機」 發布了兩份安全通告，證實存在高風險的 路徑遍歷（Path Traversal） 漏洞。

這些漏洞被分配了 CVE-2024-44242 與 CVE-2024-44243 編號。若未能及時修補，攻擊者將能繞過權限檢查，直接讀取系統核心檔案甚至寫入惡意腳本，取得設備的完整控制權。

技術解構：路徑遍歷 (Path Traversal) 攻擊原理

漏洞的根源在於應用程式對使用者輸入的「檔案路徑參數」缺乏嚴格的正規化（Normalization）與過濾。

漏洞成因

在全屋音樂主機的服務端程式中，當處理外部請求的資源路徑時，系統未正確過濾 ../（上一層目錄）或其 URL 編碼形式 %2e%2e/。這使得攻擊者可以「逃逸」出原本限制的音樂資料夾，存取系統的根目錄。

攻擊流程模擬

偵察： 攻擊者發送帶有特殊路徑的 HTTP GET/POST 請求。
逃逸： 透過 ../../ 符號回溯至根目錄 /。
利用：
- CVE-2024-44243 (讀取)： 讀取 /etc/passwd 或 /proc/self/environ 獲取帳號與環境變數。
- CVE-2024-44242 (寫入)： 覆寫 /etc/cron.d/ 下的排程任務或修改設定檔，達成持久化控制。

# 攻擊示意圖 (HTTP Request Sample)
GET /api/system/config?path=../../../../../../etc/passwd HTTP/1.1
Host: smart-music.local
Authorization: Bearer <Leaked_Token>

# 若防禦失敗，伺服器可能回傳：
HTTP/1.1 200 OK
root:x:0:0:root:/root:/bin/sh
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
...

風險評估：不僅僅是「偷聽音樂」

此漏洞的危害性在於它破壞了系統的 機密性 (Confidentiality) 與 完整性 (Integrity)：

⚠️ 敏感資料外洩： 攻擊者可竊取 stored WiFi 密碼、使用者 Token 或設備憑證。
⚠️ 遠端代碼執行 (RCE) 的前奏： 雖然這是檔案存取漏洞，但若攻擊者能寫入 Web Shell 或修改啟動腳本，極易升級為 RCE 攻擊。
⚠️ 殭屍網路節點： 遭入侵的主機可能被植入挖礦程式或成為 DDoS 攻擊的跳板。

防禦與修補策略

針對此次事件，資安團隊建議採取以下多層次防禦措施：

1. 優先套用官方修補程式

華為已於 2024 年 11 月 15 日釋出韌體更新。

行動： 請立即檢查全屋音樂主機版本，並透過「華為智慧生活 App」或管理後台執行 OTA 更新。確保版本號高於受影響的 1.0.1.X 版本。

2. 加強輸入驗證 (Input Validation)

對於開發類似 IoT 系統的工程師，應遵循安全編碼原則：

白名單機制： 僅允許請求特定的檔案名稱或目錄，拒絕任何包含路徑分隔符號的輸入。
路徑正規化： 在處理路徑前，使用程式語言內建的 realpath() 或 Path.Clean() 函式解析絕對路徑，並檢查其是否位於合法目錄內。

3. 網路層防護

WAF 規則部署： 在企業 IoT 網段的防火牆或 WAF 上，設定規則攔截包含 ../、%2e%2e、%252e%252e（雙重編碼）的 URI 請求。
網路隔離： 將 IoT 設備置於獨立的 VLAN，禁止其直接存取企業內網核心伺服器。

MITRE ATT&CK 對應戰術

資安分析師可參考以下指標進行威脅獵捕：

ID	戰術/技術	說明
T1083	File and Directory Discovery	攻擊者利用遍歷漏洞探測系統目錄結構。
T1005	Data from Local System	透過漏洞讀取本地敏感檔案 (CVE-2024-44243)。
T1505	Server Software Component	透過寫入漏洞植入 Webshell 或惡意組件 (CVE-2024-44242)。
T1190	Exploit Public-Facing Application	針對聯網的音樂服務介面進行攻擊。