EfficientLab WorkExaminer Professional 多重安全漏洞深度剖析

本文详细披露了EfficientLab WorkExaminer Professional监控软件中存在的三个高危漏洞,包括硬编码FTP凭证导致的远程代码执行、服务端认证检查缺失造成的管理员权限绕过,以及所有通信未加密传输的安全风险。

SEC Consult SA-20251021-0 :: EfficientLab WorkExaminer Professional 中的多个漏洞 (CVE-2025-10639, CVE-2025-10640, CVE-2025-10641)

SEC Consult 漏洞实验室安全公告 < 20251021-0 > 

         标题:多个安全漏洞
       产品:EfficientLab WorkExaminer Professional

受影响的版本:<= 4.0.0.52001 修复版本:- CVE编号:CVE-2025-10639, CVE-2025-10640, CVE-2025-10641 影响级别:严重 主页:https://www.workexaminer.com 发现日期:2025-05-26 发现者:Tobias Niemann (波鸿办公室) Daniel Hirschberger (波鸿办公室) Thorger Jansen (波鸿办公室) Marius Renner (柏林办公室) SEC Consult 漏洞实验室

                SEC Consult 的组成部分,Eviden 业务
                欧洲 | 亚洲

                https://www.sec-consult.com

=======================================================================

供应商描述:

“Work Examiner Professional 是一款解决方案,可帮助您对工作时间的使用情况进行定性分析,并找到提高员工效率的关键点。每位经理都能通过 Work Examiner Professional 了解员工的时间是如何度过的。因此,该系统以自下而上的模式展示了公司在所有必要控制层级(部门->科室->分部)上的时间使用情况。”

来源:https://www.workexaminer.com/products/professional.html

业务建议:

供应商对我们提交的安全漏洞回应称,这些漏洞不在其漏洞赏金计划范围内。在我们告知他们我们不关心漏洞赏金,而是希望修复这些问题后,我们没有收到任何进一步回复。

因此,对于已识别的安全问题没有可用的修复方案,我们假设该产品已无人维护。我们敦促客户就这些问题及潜在解决方案(例如使用其他产品)联系 EfficientLab。

SEC Consult 强烈建议由安全专业人员对该产品进行彻底的安全审查,以识别并解决潜在的其他安全问题。

漏洞概述/描述:

1) 使用硬编码 FTP 凭证(FTP 访问与 RCE)(CVE-2025-10639)

具有对 WorkExaminer 服务器端口 12304 网络访问权限的未认证攻击者,可以使用弱的硬编码凭证登录 WorkExaminer FTP 服务器,并利用此访问权限修改或读取数据、日志文件,并在服务器上以 NT Authority\SYSTEM 权限获得远程代码执行能力。

2) 缺失服务端认证检查 (CVE-2025-10640)

具有对 WorkExaminer 服务器端口 12306 访问权限的未认证攻击者,可以利用缺失的服务端认证检查,绕过 WorkExaminer Professional 控制台中的登录提示,获得对 WorkExaminer 服务器的管理访问权限,从而访问所有监控数据。这包括所有用户的监控截图和击键记录!

3) 未加密的通信 (CVE-2025-10641)

所有 WorkExaminer Professional 在监控客户端、控制台和服务器之间的流量均以明文传输。这使得能够访问网络的攻击者可以读取传输的敏感数据。攻击者还可以自由修改传输中的数据。

概念验证:

1) 使用硬编码 FTP 凭证(FTP 访问与 RCE)(CVE-2025-10639)

WorkExaminer Professional 服务器安装附带一个 FTP 服务器,用于接收客户端日志。弱的硬编码凭证可用于通过网络访问端口 12304 上的 FTP 服务器。

<FTP_access.png>

攻击者随后可以修改数据或读取存储在 WorkExaminer 安装目录(例如 “C:\Program File (x86)\Work Examiner Professional Server”)中的任何数据。

此外,可以重写并覆盖其中一个 WorkExaminer 服务二进制文件,以在 WorkExaminer 服务器上以 NT Authority\SYSTEM 权限获得代码执行能力。 <service_binaries.png>

在安装过程中会自动创建 Windows 防火墙例外。 <firewall_exception.png>

2) 缺失服务端认证检查 (CVE-2025-10640)

WorkExaminer Professional 控制台用于对服务器进行管理访问。在授予控制台访问权限之前,管理员必须登录。内部使用自定义协议调用 MSSQL 数据库上相应的存储过程。对于常规认证,使用输入的用户名和密码调用以下过程:

PROCEDURE [dbo].[we_Logins_AuthenticateSqlLogin] @LoginName nvarchar(256), @Password nvarchar(128), @Result int OUTPUT BEGIN IF NOT EXISTS (SELECT LoginName FROM we_Logins WHERE @LoginName = LoginName) RETURN (-1)

    DECLARE @PasswordHash varbinary(128)

    SELECT @PasswordHash = PasswordHash FROM we_Logins WHERE @LoginName = LoginName

    SELECT @Result = PWDCOMPARE(@Password, @PasswordHash)

END

但是,此调用的返回值在服务端未经验证。相反,它仅在客户端进行验证。因此,在输入错误凭证时,通过切换服务器响应中的返回值,可以快速实现认证绕过。在此概念验证中,使用了全局管理员账户 “admin”。

<login_window.png>

服务器响应中高亮显示的字节从 0 设置为 1。

<server_response_toggle.png>

客户端现在认为认证已成功并授予访问权限:

<login_bypassed.png>

也可以从客户端完全修补登录。这可以通过将选定的指令替换为 nop 轻松实现:

<x64dbg.png>

修改后的客户端无论输入何种密码都能绕过登录:

如果在登录期间选择 AD 认证,则调用以下过程:

PROCEDURE [dbo].[we_Logins_GetLoginByName] @LoginName nvarchar(256) BEGIN SELECT LoginId, LoginName, Reports, Menus, AuthenticationType, IsAdmin FROM dbo.we_Logins WHERE @LoginName = LoginName END

在这种情况下,返回值必须替换为相应的期望值。

3) 未加密的通信 (CVE-2025-10641)

监控客户端使用未加密的 FTP 将其数据传输到服务器。客户端连接到端口 12304 上的 FTP 服务器并以未加密方式传输数据:

<ftp_unencrypted.png>

此外,控制台客户端与服务器在端口 12306 之间的所有流量都是未加密的。以下截图显示了通过控制台检索的击键记录:

<unencrypted_console.png>

受影响/测试版本:

以下版本已经过测试,该版本是测试时可用的最新版本:

  • WorkExaminer Professional 4.0.0.52001

供应商联系时间线:

2025-07-09:首次发送邮件给供应商 (support () workexaminer com);无响应。 2025-08-22:发送提醒邮件;无响应。 2025-09-16:通过 https://kb.controlio.net/hc/en-us/requests/new 提交支持工单,涉及另一份公告并包含此公告的信息。 供应商分配工单 #14957,支持代理将请求转发给相关部门。 EfficientLab 回应称有一个漏洞赏金页面用于提交安全公告:https://controlio.net/bug-bounty.html 2025-09-17:提交公告,为此公告分配了工单 #14997。 2025-10-15:供应商回应称我们的提交不符合漏洞赏金资格(超出范围)。 2025-10-16:告知供应商我们不关心漏洞赏金,而是关心软件安全。询问是否正在开发修复程序。设定披露日期为 10 月 21 日。无响应。 2025-10-21:公告公开披露。

解决方案:

供应商对我们提交的安全漏洞回应称,这些漏洞不在其漏洞赏金计划范围内。在我们告知他们我们不关心漏洞赏金,而是希望修复这些问题后,我们没有收到任何进一步回复。

因此,对于已识别的安全问题没有可用的修复方案,我们假设该产品已无人维护。我们敦促客户就这些问题及潜在解决方案(例如使用其他产品)联系 EfficientLab。

临时缓解措施:

公告 URL:

https://sec-consult.com/vulnerability-lab/

1
2
3
4
5
6
7


SEC Consult 漏洞实验室
SEC Consult 的组成部分,Eviden 业务
欧洲 | 亚洲

关于 SEC Consult 漏洞实验室
SEC Consult 漏洞实验室是 SEC Consult(Eviden 业务)的一个组成部分。它确保持续获取 SEC Consult 在网络和应用安全领域的知识,以领先于攻击者。SEC Consult 漏洞实验室支持高质量的渗透测试以及对我们客户新的攻防技术进行评估。因此,我们的客户能够获得关于漏洞的最新信息以及关于新技术风险状况的有效建议。

有兴趣与 SEC Consult 的专家合作吗? 请发送您的申请至:https://sec-consult.com/career/

有兴趣通过 SEC Consult 的专家提升您的网络安全吗? 请联系我们的当地办事处:https://sec-consult.com/contact/

1
2
3
4
5
6
7


邮件:security-research at sec-consult dot com
网站:https://www.sec-consult.com
博客:https://blog.sec-consult.com
Twitter:https://x.com/sec_consult

EOF Tobias Niemann, Daniel Hirschberger, Thorger Jansen, Marius Renner / @2025
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次