NetSupport Managerに存在する2つの重大な0デイ脆弱性は、連鎖させることで、未認証のリモートコード実行(RCE)を可能にします。
これらの脆弱性は、運用技術(OT)環境に対する定期的なセキュリティ評価の過程で発見され、バージョン14.10.4.0以前に影響します。修正は、2025年7月29日にリリースされたバージョン14.12.0000で実装されました。
CVE-2025-34164およびCVE-2025-34165として追跡されている2つの脆弱性は、リモート制御ソフトウェアの文書化されていないブロードキャスト機能に存在します。この機能はバージョン14で導入され、標準のコマンド処理とは独立して動作します。
CVE-2025-34164は、ブロードキャストポート割り当てパラメータにおける整数オーバーフローによって引き起こされる、ヒープベースのアウト・オブ・バウンズ書き込みです。攻撃者は、BC_ADD_PORTコマンドにおけるスロットサイズおよびカウント値の検証不足を悪用し、ヒープ上のメモリ破壊を引き起こすことができます。
CVE-2025-34165は、サイズ検証の欠如に起因するスタックベースのアウト・オブ・バウンズ読み取り脆弱性です。
BC_TCP_DATAコマンドは、送信元の受信バッファに十分なデータが含まれているかを検証せずに、制御可能なブロードキャストデータサイズのパラメータを受け付けます。
受信バッファは0x800バイトで固定され、スタック上に配置されているため、これによりバッファ境界を超えた読み取りが可能になります。
攻撃チェーンと影響
NetSupport Managerのインストールでは、通常、制御側からクライアントへの通信にTCPポート5405が使用されます。
重要なのは、ブロードキャスト機能のコマンドが認証を必要としない点であり、クライアントに接続可能なネットワーク上の任意の位置から未認証での悪用が可能になります。
BC_ADD_PORTコマンドで送信されるスロットサイズは、スロットのメタデータサイズ(0x10バイト)分だけ増加し、次の0x10アラインされた値に切り上げられます。
この組み合わせにより、攻撃者はvtableポインタを漏えいさせてアドレス空間配置のランダム化(ASLR)を回避し、任意のメモリ書き込みを達成し、最終的にコード実行を得ることができます。
このエクスプロイトは、高度なヒープ操作手法を活用して予測可能なメモリレイアウトを実現し、vtableポインタや疑似コードの命令ポインタを含む重要なデータ構造を上書きできるようにします。
研究者らは、動的なROPガジェットチェーンの構築とkernel32のAPI解決を通じて、リモートシェルアクセスに至る完全な悪用チェーンを実証しました。
産業用制御環境におけるNetSupport Managerの広範な導入により、この脆弱性は特に懸念されます。
使用されているヒープ実装に関する基本的な知識を前提に、最初のエクスプロイト手順に戻りましょう。すなわち、メモリアドレスを漏えいさせてASLRを破ることです。
多くの組織は、重要インフラのリモート保守・サポートのためにこのソフトウェアを使用しており、ネットワーク分離の回避を目的として内部ファイアウォールで許可している場合があります。このアーキテクチャは、攻撃者が機密性の高いOTネットワークへ横展開するための直接的な経路を作り出します。
緩和策
CODE WHITEは、2025年6月11日に両脆弱性をNetSupport Ltd.へ報告し、修正は2025年7月29日にバージョン14.12.0000で展開されました。
パッチでは、ブロードキャスト関連のすべてのコマンドに認証を強制し、包括的なパラメータ検証を実装しています。CVE-2025-34164のCVSS深刻度評価は、エクスプロイト開発を受けて2025年11月3日に更新されました。
NetSupport Managerを運用している組織は、直ちにバージョン14.12.0000以降へアップグレードすべきです。
ネットワークは、ネットワーク分離の制御を実装し、ポート5405へのアクセスを制限し、アップグレードが展開されるまでの暫定的な緩和策として、不審なブロードキャストプロトコルの活動を監視すべきです。
翻訳元: https://gbhackers.com/netsupport-0-day/
