CVE-2025-59704 Entrust nShield HSM BIOS物理访问未授权漏洞

漏洞信息

漏洞编号

CVE-2025-59704

漏洞类型

物理访问控制缺陷/未授权访问

CVSS评分

4.6 中危

攻击向量

物理 (AV:P)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Entrust nShield Connect XC, nShield 5c, nShield HSMi

漏洞概述

CVE-2025-59704是影响Entrust公司nShield系列硬件安全模块（HSM）的物理访问控制漏洞。该漏洞存在于nShield Connect XC、nShield 5c和nShield HSMi设备中，影响版本至13.6.11及13.7版本。攻击者通过物理接触设备，可以直接访问BIOS菜单而无需任何密码验证。这是一个严重的安全缺陷，因为BIOS作为系统启动的核心固件，控制着硬件初始化和引导过程。攻击者一旦获得BIOS访问权限，可以修改启动顺序、禁用安全功能、植入恶意固件或提取敏感加密密钥。此外，HSM设备通常用于保护高价值加密密钥和企业关键基础设施，缺乏物理访问控制意味着整个密钥管理体系的完整性受到威胁。该漏洞的CVSS评分为4.6，属于中等严重程度，主要风险在于完整性影响高（I:H），攻击复杂度低（AC:L），无需认证（PR:N）和用户交互（UI:N）。虽然攻击向量为物理（AV:P），但一旦攻击者获得物理访问，将能够完全控制设备并可能对企业安全造成重大影响。

技术细节

该漏洞的根本原因在于Entrust nShield HSM设备的BIOS固件缺乏访问控制机制。在正常的硬件安全模块设计中，BIOS或UEFI固件应该实施密码保护或基于硬件的认证机制，以防止未授权的物理访问。然而，受影响的nShield设备在13.6.11及之前版本和13.7版本中，BIOS菜单完全开放，没有任何密码验证机制。攻击者通过物理接触设备，可以直接按下特定按键（如Del、F2等）进入BIOS设置界面。一旦进入BIOS，攻击者可以：1）修改启动顺序以从外部介质启动，从而提取设备存储的加密密钥和配置数据；2）禁用安全启动功能以加载未签名的固件；3）修改硬件安全模块的安全策略和访问控制列表；4）重置管理员密码或创建新的管理员账户；5）提取设备固件以进行进一步的逆向工程分析。这种物理访问漏洞的危害在于，它绕过了所有软件层面的安全控制，因为攻击发生在系统启动之前。对于运行关键业务应用的HSM设备，攻击者可能利用此漏洞获取用于加密敏感数据的密钥，从而导致数据泄露或业务系统被完全 compromise。

攻击链分析

STEP 1

步骤1

攻击者获得对Entrust nShield HSM设备的物理访问权限，可以是直接接触设备或通过控制台端口连接

STEP 2

步骤2

攻击者重启或重置设备，在启动过程中按下BIOS进入键（如DEL、F2或ESC）

STEP 3

步骤3

由于BIOS没有密码保护，攻击者直接进入BIOS设置界面，无需任何认证

STEP 4

步骤4

攻击者在BIOS中修改启动顺序，将外部USB设备或CD-ROM设置为第一启动项

STEP 5

步骤5

攻击者重启设备从外部介质启动，加载自定义的启动环境或取证工具

STEP 6

步骤6

攻击者提取HSM设备上存储的加密密钥、证书、配置数据和固件镜像

STEP 7

步骤7

可选：攻击者可以刷入恶意固件或修改安全策略，实现持久化控制或进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-59704 PoC - Physical Access to Entrust nShield HSM BIOS
# This PoC demonstrates the physical access requirement for exploiting this vulnerability

print("CVE-2025-59704 Proof of Concept")
print("=" * 50)
print("Target: Entrust nShield Connect XC, nShield 5c, nShield HSMi")
print("Affected Versions: <= 13.6.11, 13.7")
print()

poc_steps = """
Physical Exploitation Steps:

1. Physical Access Required
   - Gain physical access to the nShield HSM device
   - Locate the device console port or direct interface

2. Reboot the Device
   - Power cycle the nShield HSM device
   - Or press the physical reset button if available

3. Enter BIOS Setup
   - During boot, press the appropriate BIOS key (typically DEL, F2, or ESC)
   - The key varies by hardware platform but no password is required

4. Unauthorized BIOS Access
   - Access BIOS configuration without authentication
   - View and modify all BIOS settings

5. Exploitation Options:
   a) Modify boot order to boot from external USB/CD
   b) Disable secure boot
   c) Extract firmware for reverse engineering
   d) Modify security configurations
   e) Reset administrator credentials

6. Persistence
   - Flash malicious firmware if desired
   - Configure backdoor access
   - Extract stored encryption keys

Note: This is a physical security vulnerability. Remote exploitation is NOT possible.
The only mitigation is physical security controls and firmware updates from Entrust.
"""

print(poc_steps)

# Technical Notes
notes = """
CVSS 3.1 Vector: CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Attack Vector: Physical (AV:P)
Attack Complexity: Low (AC:L)
Privileges Required: None (PR:N)
User Interaction: None (UI:N)
Scope: Unchanged (S:U)
Confidentiality Impact: None (C:N)
Integrity Impact: High (I:H)
Availability Impact: None (A:N)

Base Score: 4.6 (Medium)
"""
print(notes)

影响范围

Entrust nShield Connect XC <= 13.6.11

Entrust nShield 5c <= 13.6.11

Entrust nShield HSMi <= 13.6.11

Entrust nShield Connect XC 13.7

Entrust nShield 5c 13.7

Entrust nShield HSMi 13.7

防御指南

临时缓解措施

由于这是物理访问漏洞，临时缓解措施主要集中在物理安全控制方面。首先，将nShield HSM设备放置在受物理保护的专用机房或机柜中，实施严格的访问控制措施，包括门禁系统、监控摄像头和访问日志记录。其次，确保设备机箱上锁并使用安全封条，防止攻击者直接接触硬件接口。对于必须远程管理的场景，应使用KVM-over-IP或序列控制台等安全远程管理方案，而不是允许物理直接访问。此外，考虑实施资产追踪和定期盘点，确保设备未被篡改。在软件层面，监控HSM设备的登录日志和安全事件，检测异常的固件更新或配置变更。最根本的解决方案是等待Entrust发布包含密码保护机制的固件更新，并及时应用该更新。