CVE-2025-13532: Fortra BoKS Server Agent弱密码哈希算法配置漏洞

漏洞信息

漏洞编号

CVE-2025-13532

漏洞类型

不安全默认配置

CVSS评分

6.2 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Fortra Core Privileged Access Manager (BoKS) Server Agent

漏洞概述

CVE-2025-13532是Fortra Core Privileged Access Manager（简称BoKS）Server Agent组件中的一个安全漏洞。该漏洞源于不安全默认配置，导致系统可能选择弱密码哈希算法。具体而言，当BoKS Server Agent 9.0实例支持yescrypt密码哈希算法但运行在BoKS 8.1域中时，系统会因兼容性问题而回退到较弱的密码哈希方案。攻击者可利用此漏洞通过本地访问获取用户密码哈希值，由于使用的是弱哈希算法，攻击者可以更容易地进行离线暴力破解或字典攻击，从而获取用户明文密码。这可能导致攻击者获得对特权访问管理系统的未授权访问权限，进而控制整个IT基础设施。该漏洞的CVSS评分为6.2，属于中等严重程度，但考虑到其影响的是特权访问管理系统，潜在危害不容忽视。

技术细节

该漏洞的核心问题在于密码哈希算法的回退机制存在设计缺陷。当BoKS Server Agent 9.0实例运行在BoKS 8.1域环境中时，系统检测到yescrypt算法与当前域版本不兼容，错误地选择了安全性较低的密码哈希算法。这种不安全默认配置导致存储的用户密码哈希强度显著降低。攻击者通过本地访问权限即可获取密码哈希数据库。由于所选哈希算法的熵值不足且迭代次数较低，攻击者可以使用标准GPU硬件和开源工具（如hashcat）在数小时至数天内破解中等复杂度的密码。成功利用此漏洞后，攻击者不仅能获取普通用户凭证，还可能获得管理员级别权限，从而完全控制BoKS特权访问管理系统。漏洞的利用不需要任何用户交互，且在攻击过程中不会触发安全告警。

攻击链分析

STEP 1

初始访问

攻击者获得BoKS Server Agent所在系统的本地访问权限（通过物理访问、社会工程或其他漏洞）

STEP 2

环境探测

攻击者识别目标系统运行BoKS Server Agent 9.0且处于BoKS 8.1域环境中，并确认yescrypt支持已启用

STEP 3

配置分析

系统检测到版本不兼容，自动回退到弱密码哈希算法，攻击者确认此不安全默认配置

STEP 4

哈希提取

攻击者利用本地权限访问密码哈希数据库或通过BoKS管理接口提取用户密码哈希值

STEP 5

离线破解

攻击者使用GPU加速工具（如hashcat）对弱哈希算法进行暴力破解或字典攻击，获取明文密码

STEP 6

权限提升

成功破解密码后，攻击者获得BoKS系统访问权限，可能包括管理员账户，从而控制整个特权访问管理系统

STEP 7

持久化

攻击者利用获取的特权在系统中建立持久化访问，窃取敏感数据或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-13532 PoC - Password Hash Extraction and Analysis
# This PoC demonstrates extracting weak password hashes from vulnerable BoKS installations

import hashlib
import binascii

def simulate_weak_hash_extraction():
    """
    Simulate extraction of weak password hashes from vulnerable BoKS configuration
    Note: This is a conceptual demonstration only
    """
    print("[*] CVE-2025-13532 - Weak Password Hash Vulnerability PoC")
    print("[*] Target: Fortra BoKS Server Agent 9.0 on BoKS 8.1 domain\n")
    
    # Simulated weak hash detection
    weak_hash_algorithms = ['MD5', 'SHA1', 'DES-based']
    
    print("[+] Checking hash algorithm configuration...")
    print("[*] Domain version: 8.1")
    print("[*] Server Agent version: 9.0")
    print("[*] Yescrypt support: ENABLED")
    print("[-] Incompatibility detected - falling back to weak hash algorithm")
    
    # Simulate hash extraction
    sample_hashes = [
        ('admin', '5f4dcc3b5aa765d61d8327deb882cf99'),  # MD5 example
        ('operator', '5baa61e4c9b93f3f0682250b6cf8331b')  # SHA1 example
    ]
    
    print("\n[+] Extracted password hashes:")
    for user, hash_val in sample_hashes:
        print(f"    {user}:{hash_val}")
    
    print("\n[!] WARNING: Hashes use weak algorithms vulnerable to GPU acceleration")
    print("[*] Recommended action: Upgrade to compatible version or patch configuration")

if __name__ == "__main__":
    simulate_weak_hash_extraction()

影响范围

BoKS Server Agent 9.0 (with yescrypt support, running in BoKS 8.1 domain)

防御指南

临时缓解措施

在等待官方补丁期间，建议采取以下临时缓解措施：首先评估BoKS部署环境，确认是否存在版本不匹配情况（Server Agent 9.0 + Domain 8.1）；其次如果业务允许，考虑临时降级Server Agent至8.1版本以保持一致性；最后实施额外的访问控制措施，限制对BoKS管理界面的访问，并对所有管理操作启用完整审计日志记录。