MICI NetFax服务器产品漏洞(未修复)| Rapid7博客
在渗透测试过程中,Rapid7在MICI Network Co., Ltd的NetFax服务器版本<3.0.1.0中发现了三个漏洞。这些问题允许经过身份验证的攻击链,以root用户身份对设备执行远程代码执行(RCE)。虽然利用需要身份验证,但应用程序的默认凭证通过发送给客户端的响应自动配置为明文提供,从而允许对易受攻击的主机进行自动化利用。
Rapid7寻求TWCERT的帮助,作为中间人联系供应商。2025年5月2日星期五,Rapid7收到TWCERT的通知,内容如下:“…他们(MICI)回应称不会解决此产品中的漏洞。”由于这一沟通,客户选择在公告发布前停用设备来减轻相关风险。
第一个漏洞是默认凭证泄露,始于首次访问服务器时发出的HTTP GET请求,这些请求以明文显示默认系统管理员凭证。这些凭证的显示似乎是出于支持‘OneIn’客户端的功能实现。
使用这些凭证,Rapid7审查了系统配置设置。发现多个参数中对‘`’字符缺乏足够的清理。这种清理不足可用于在配置文件中存储系统命令,如‘whoami’。
Rapid7发现了一个执行各种系统测试以确认有效配置(如‘ping’命令)的函数。该函数从存储的配置中获取数据,导致确认的远程代码执行。通过使用系统中存在的‘mkfifo’和‘nc’二进制文件,获得了root用户的反向shell。
此外,在系统中注意到,虽然用户界面中显示的SMTP密码已正确编辑,但提供系统配置的请求中包含明文密码。
产品描述
MICI的网络传真(NetFax)服务器是一个产品套件,用于通过电子邮件流量将传真消息接收到用户邮箱。供应商MICI在台湾运营。在分析互联网连接设备时,Rapid7注意到有34个系统暴露在互联网上。Rapid7指出,内部网络上的设备数量可能要高得多。
在审查过程中,Rapid7注意到运行在相同‘wfaxd’服务器架构上的系统,名称为‘CoFax Server’。这些系统大多位于伊朗。从被动审查来看,这些设备不一定具有相同的漏洞。
致谢
漏洞由Anna Quinn发现。根据Rapid7的漏洞披露政策进行披露。
利用
测试过程中识别了以下漏洞:
- CVE-2025-48045:泄露的默认凭证
- CVE-2025-48046:存储密码泄露
- CVE-2025-48047:命令注入
CVE-2025-48045 - 泄露的默认凭证 - 中等(6.6)
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:U CWE-201:在发送数据中插入敏感信息
访问端口80上的Web应用程序及之后间歇性地,向‘/client.php’发出GET请求,通过提供自动配置设置文件中的信息,向客户端泄露默认管理用户凭证:
修复:不要向客户端暴露用户凭证,而是在服务器端处理任何配置调用。仅向客户端提供必要信息,如应用程序名称和版本。要求用户在首次访问时重置默认管理员密码。
CVE-2025-48046 - 存储密码泄露 - 中等(5.3)
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N CWE-260:配置文件中的密码
使用凭证,审查了应用程序的安全性。在此过程中,发现应用程序中配置的SMTP密码已正确编辑:
然而,通过向‘/config.php’发出GET请求访问的配置文件,向用户提供了明文密码:
修复:不要向客户端暴露用户凭证。在向客户端显示之前编辑敏感信息。
CVE-2025-48047 - 命令注入 – 严重(9.4)
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H CWE-78:不当中和OS命令中使用的特殊元素(‘OS命令注入’)
位于/test.php端点的服务器测试函数执行诸如‘ping’之类的命令。该函数似乎获取发送到配置文件的数据,如‘ETHNAMESERVER’:
配置文件被更改为包含各种命令,如使用‘nc’二进制文件和‘whoami’的反向shell:
然后运行系统测试,确认‘`’字符未被清理。这导致通过命令注入实现远程代码执行。在确认机器上存在‘mkfifo’和‘nc’二进制文件后,通过这些方法也获得了反向shell:
修复:在用于系统命令之前正确清理所有输入。虽然许多字符已正确编辑,但‘`’字符未编辑。在接受更改之前,对配置设置进行服务器端验证,以确认所有参数包含预期内容。包含IP地址的字段应进行处理,确保仅包含有效的IP地址。
已为此攻击路径创建了一个有效的Metasploit模块,用于针对使用默认凭证的服务器进行完全未经身份验证的远程代码执行利用和经过身份验证的RCE利用,并将在即将到来的更新中发布。任何具有网络访问设备的恶意行为者都可以执行此攻击。
影响
漏洞的影响因配置而异。应用程序泄露默认凭证对在设置过程中未正确更改管理密码的系统管理员构成风险。Rapid7确定应用程序在首次登录时似乎既不强制执行也不请求更改默认凭证。
未能隐藏连接到外部服务的密码可能导致网络服务账户的泄露,并对环境中的进一步资源产生潜在影响。
命令注入漏洞导致对底层系统的管理访问,影响服务器和应用程序的机密性、可用性和完整性。
供应商声明
在多次尝试联系供应商无果后,Rapid7寻求TWCERT的帮助以促进与供应商的沟通。经过多次通信,供应商通过TWCERT表示:
“…他们(MICI)回应称不会解决此产品中的漏洞。他们建议用户不要将产品暴露给外部网络。他们表示将不再回应有关此产品的询问。”
供应商修复
供应商表示不会修补漏洞,并建议用户不要将服务器暴露在互联网上。然而,由于漏洞也可以从内部网络角度利用,并导致对底层服务器的管理访问,Rapid7还建议在审查设备存在对环境的风险后,仅将服务器暴露给严格必要的内部网络。Rapid7建议更改默认设备凭证,并审查与提供给系统用于服务集成目的的账户凭证相关的风险。
客户修复
Rapid7渗透测试团队在客户参与过程中经常发现产品漏洞。在发现本披露中概述的漏洞后,团队通知了客户,并让客户参与与持续披露相关沟通的汇报。由于这些沟通的性质,客户选择在公告发布前停用设备来减轻已识别的风险。
Rapid7客户
InsightVM和Nexpose客户可以使用2025年5月28日内容发布中提供的未经身份验证检查,评估其对CVE-2025-48045、CVE-2025-48046和CVE-2025-48047的暴露情况。
披露时间线
- 2025年1月:Anna Quinn发现问题
- 2025年1月30日星期四:通过联系表初步披露给供应商
- 2025年2月25日星期二:通过联系表额外联系供应商
- 2025年3月18日星期二:Rapid7联系TWCERT确定供应商参与的适当渠道
- 2025年3月20日星期四:TWCERT让Rapid7与供应商联系
- 2025年3月24日星期一:Rapid7跟进供应商
- 2025年3月26日星期三:Rapid7跟进供应商
- 2025年3月31日星期一:Rapid7向TWCERT请求额外协助
- 2025年4月1日星期二:TWCERT请求更多信息
- 2025年4月2日星期三:TWCERT确认供应商收到漏洞披露信息,并表示供应商将在内部审查后联系
- 2025年4月8日星期二:Rapid7跟进供应商和TWCERT,请求在2025年4月15日前更新
- 2025年4月22日星期二:Rapid7请求更新
- 2025年4月25日星期五:TWCERT转达供应商消息,请求在较新版本的应用程序上进行测试。Rapid7向供应商请求受影响产品的额外版本
- 2025年4月29日星期二:TWCERT提供NetFax客户端版本进行测试,但漏洞存在于NetFax服务器中,因此客户端无法用于验证目的。Rapid7通知TWCERT,向供应商请求服务器应用程序版本
- 2025年5月2日星期五:TWCERT提供供应商消息,表示供应商不会解决漏洞。供应商建议客户确保设备不暴露 externally。供应商表示将不再回应此事
- 2025年5月29日星期四:本披露