SEC Consult安全公告SA-20250925-0:iMonitorSoft EAM员工监控软件多重漏洞
漏洞概述
产品信息
- 产品名称:iMonitorSoft EAM
- 受影响版本:iMonitor EAM 9.6394
- CVE编号:CVE-2025-10540、CVE-2025-10541、CVE-2025-10542
- 影响等级:严重
- 发现日期:2025-05-21
漏洞详情
1. 未加密且未认证的通信(CVE-2025-10540)
EAM客户端代理与服务器之间,以及监控管理软件与服务器之间的通信均以明文传输。这意味着攻击者可以通过网络流量访问获取敏感数据,包括键盘记录历史(可能包含个人身份信息、密码等),并可修改命令控制流量向代理发送任意命令。
2. 本地权限提升(CVE-2025-10541)
攻击者可利用代理组件eamusbsrv64.exe的内置更新机制,将本地系统权限提升至NT Authority\SYSTEM级别。该组件在系统启动时自动检查C:\sysupdate\finish.txt文件,如存在则将该目录下所有文件移动到EAM安装目录。
3. 不安全的默认凭证(CVE-2025-10542)
安装EAM服务器后,监控管理软件使用不安全的默认凭证:用户名’admin’和三位数弱密码'000’。这些凭证在连接对话框中明确显示,如管理员未修改密码,攻击者可使用这些凭证连接到服务器并对所有代理执行任意操作。
概念验证
权限提升漏洞利用
攻击者可通过以下步骤实现权限提升:
- 创建恶意DLL文件(如wtsapi32.dll)并复制到
C:\sysupdate\目录 - 创建空文件
C:\sysupdate\finish.txt - 重启eamusbsrv64.exe服务(通过重启计算机)
- 恶意DLL将以SYSTEM权限执行
时间线
- 2025-07-10:首次联系厂商,未获响应
- 2025-07-29:再次联系厂商,未获响应
- 2025-09-16:通过在线聊天联系,客服关闭对话
- 2025-09-25:发布安全公告
解决方案
由于厂商未响应沟通尝试,目前尚无官方补丁。建议终端用户联系厂商要求提供补丁,并对产品进行彻底的安全审查。
工作建议
SEC Consult建议由安全专业人员对产品进行全面安全审查,以识别和解决其他潜在安全问题。