CVE-2025-11633CVE-2025-11633是Tomofun公司生产的Furbo 360和Furbo Mini智能宠物摄像头设备中存在的一个安全漏洞。该漏洞位于设备固件的collect_logs.sh脚本中的upload_file_to_s3函数,属于HTTP流量处理组件的一部分。具体而言,该函数在将日志文件上传到Amazon S3云存储服务的过程中,未能正确验证TLS/SSL证书的有效性,导致存在中间人攻击(MITM)的风险。
该漏洞的CVSS 3.1评分为3.7分,属于低危级别。尽管攻击者可以远程发起攻击,但攻击复杂度较高,利用难度较大。攻击者需要在网络通信路径上能够拦截和篡改设备与S3服务器之间的HTTPS流量,例如通过ARP欺骗、DNS劫持或部署恶意Wi-Fi热点等方式,才能成功实施攻击。
值得注意的是,Tomofun公司在漏洞披露前已被提前通知,但未对披露做出任何回应,这表明该漏洞可能至今仍未获得官方修复补丁。受影响的固件版本包括Furbo 360的FB0035_FW_036及以下版本,以及Furbo Mini的MC0020_FW_074及以下版本。该漏洞的发现者为[email protected],于2025年10月12日正式公开披露。
该漏洞的根本原因在于collect_logs.sh脚本中的upload_file_to_s3函数在执行HTTPS请求上传日志文件至Amazon S3存储服务时,未对服务器证书进行严格的验证。具体技术细节如下:
1. **漏洞位置**:collect_logs.sh脚本中的upload_file_to_s3函数,该函数负责将设备收集的日志数据上传到S3云存储。
2. **漏洞原理**:在调用curl或其他HTTP客户端工具进行HTTPS通信时,脚本可能未使用--cacert参数指定CA证书,或未设置适当的证书验证选项(如未禁用SSL_VERIFYPEER)。这意味着即使服务器返回的证书无效、自签名或与预期主机名不匹配,客户端仍会接受连接。
3. **攻击方式**:攻击者需要在网络路径上部署中间人攻击,例如:
- 在同一局域网内进行ARP欺骗,劫持设备到网关的流量
- 部署恶意Wi-Fi热点,诱使用户设备连接
- 利用DNS劫持将S3端点重定向到攻击者控制的服务器
- 部署SSL剥离或伪造证书的攻击代理
4. **影响范围**:由于证书验证不当,攻击者可以:
- 窃听设备上传的日志数据,可能包含用户隐私信息
- 篡改上传的数据内容
- 注入恶意数据到S3存储中
5. **利用条件**:需要满足以下条件才能成功利用:
- 攻击者必须位于设备与S3服务器之间的网络路径上
- 设备需要执行日志上传操作(通常为定时任务)
- 攻击者需要准备有效的攻击基础设施