证书验证缺失导致CleverControl监控软件远程代码执行漏洞分析

本文详细分析了CleverControl员工监控软件11.5.1041.6版本中存在的证书验证缺失漏洞(CVE-2025-10548)。该漏洞允许中间人攻击者通过拦截未经验证的TLS连接,替换下载的可执行文件,最终实现SYSTEM权限的远程代码执行。文章包含完整的漏洞原理、PoC验证过程和受影响版本信息。

SEC Consult安全通告SA-20250923-0:证书验证缺失导致CleverControl员工监控软件RCE漏洞(CVE-2025-10548)

漏洞概要

标题:证书验证缺失导致远程代码执行(RCE)
产品:CleverControl员工监控软件
受影响版本:11.5.1041.6
修复版本:暂无
CVE编号:CVE-2025-10548
危害等级:高危
发现时间:2025-05-23

漏洞描述

1)证书验证缺失导致RCE(CVE-2025-10548)

在部署CleverControl MSI安装包时,系统会下载两个可执行文件,但未验证服务器证书的有效性。这些文件随后以SYSTEM权限执行,使得中间人攻击者能够通过拦截TLS连接,替换恶意文件实现在系统上获得提升权限的代码执行。

技术细节

概念验证(PoC)

当使用7-zip打开MSI安装文件时,可发现两个脚本文件:instredist.cmdsrec.cmd

instredist.cmd内容:

1
2
3

curl.exe --insecure -o c:\ProgramData\{FO16FA1A-AA91-C56A-654F-E3865DA10DAT}\vc_redist.x86.exe 
https://cdn.cdndownload.net/vc/vc_redist.x86.exe
c:\ProgramData\{FO16FA1A-AA91-C56A-654F-E3865DA10DAT}\vc_redist.x86.exe /install /quiet /norestart /log redist.log

srec.cmd内容:

1
2
3
4

curl.exe --insecure -o "C:\ProgramData\{FO16FA1A-AA91-C56A-654F-E3865DA10DAT}\srec(%1).msi" 
https://cdn.cdndownload.net/sprec/%2/srec(%1).msi
msiexec /x "C:\ProgramData\{FO16FA1A-AA91-C56A-654F-E3865DA10DAT}\srec(%1).msi" /qn
msiexec /i "C:\ProgramData\{FO16FA1A-AA91-C56A-654F-E3865DA10DAT}\srec(%1).msi" /qn

通过ProcMon监控安装过程可确认这些脚本在安装期间被执行。由于curl.exe使用--insecure参数,服务器TLS证书未被验证,使得攻击者可通过中间人攻击拦截TLS连接并替换恶意文件。

攻击演示

攻击者可通过以下步骤实现攻击:

  1. cdn.cdndownload.net的DNS解析指向本地主机
  2. 在本地使用updog托管恶意文件
  3. 使用msfvenom生成恶意exe文件: 
    1

    msfvenom -p windows/adduser USER=owned -f exe -o vc_redist.x86.exe

受影响版本

  • 已测试版本:11.5.1041.6(测试时的最新版本)
  • 推测早期版本同样受影响

时间线

  • 2025-07-02:通过support@clevercontrol.com联系厂商,未获回应
  • 2025-07-21:再次询问厂商是否收到初始邮件,未获回应
  • 2025-09-16:通过邮件向厂商发送9月23日发布截止日期,未获回应
  • 2025-09-23:发布安全通告

解决方案

由于厂商未回应沟通尝试,目前暂无该安全问题的补丁。建议最终用户联系厂商要求提供补丁。

临时措施

暂无

参考链接

https://sec-consult.com/vulnerability-lab/

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次