漏洞概述
群晖科技(Synology)的Active Backup for Microsoft 365(ABM)软件存在安全漏洞,导致无数企业的云数据面临未授权访问风险。该漏洞编号为CVE-2025-4679,攻击者利用泄露的应用程序凭证即可渗透任何安装了ABM的微软租户——无需事先获取访问权限。
根据modzero发布的详细技术报告,该漏洞是在红队演练期间发现的,研究人员迅速将其定性为"大量企业微软租户的后门"。
技术原理
群晖ABM软件通过与微软Entra ID的OAuth集成,实现Teams、OneDrive和Exchange等微软365服务的自动备份。其设置过程中涉及一个中间件服务(synooauth.synology.com),该服务竟在重定向URL中泄露了静态client_secret(客户端密钥)。
报告指出:"响应报文的Location头部包含多个参数,其中就包含client_secret的值。"该密钥属于群晖的全局应用注册,而非特定租户——意味着所有安装ABM的租户均可通用。造成的后果极为严重:
-
无需通过群晖或微软的任何认证 -
攻击者可利用该凭证获取Teams消息、群组成员、Outlook内容和日历的只读权限
研究人员演示了攻击者如何仅凭公开的client_id和client_secret,就能使用泄露的凭证请求微软Graph API访问令牌。这实际上为所有启用ABM的组织创建了一个通用的云访问密钥,可能被用于:
-
企业环境间谍活动 -
勒索软件攻击前的侦察 -
地下数据交易
漏洞处置
modzero于2025年4月4日向群晖报告该问题,群晖确认后分配了CVE编号,但双方对漏洞严重性评估存在显著分歧——群晖给出的CVSS评分为6.5,远低于研究人员建议的8.6分。
群晖的公告仅含糊描述为:"群晖Active Backup for Microsoft 365存在漏洞,允许经过认证的远程攻击者通过未指定途径获取敏感信息。"值得注意的是,公告中未包含客户警报或入侵指标(IoC)。
modzero提供了以下取证细节:
-
ABM客户端ID: b4f234da-3a1a-4f4d-a058-23ed08928904 -
可疑IP: 220.130.175.235及ASNAS3462 -
计划备份时段外异常的Graph API调用记录 -
来自其他微软租户的应用权限异常服务主体
参考来源:
原文始发于微信公众号(FreeBuf):群晖ABM漏洞泄露全局客户端密钥,危及所有微软365租户
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论