Специалисты по кибербезопасности обнаружили две критические уязвимости в медиасервере Twonky Server версии 8.5.2, которые позволяют неавторизованным злоумышленникам получать полный контроль над системой. Исследователи из Rapid7 выявили, что атакующие могут обходить аутентификацию, красть зашифрованные учетные данные администратора и расшифровывать их с помощью ключей, встроенных непосредственно в двоичные файлы приложения.
Детали уязвимости
Производитель программного обеспечения отказался выпускать исправления, оставив приблизительно 850 публично доступных экземпляров сервера под непосредственной угрозой компрометации. По данным поисковой системы Shodan, большинство уязвимых систем расположены в домашних и малых бизнес-средах, где пользователи часто не подозревают о доступности своих медиасерверов из интернета.
Механизм атаки объединяет две независимые уязвимости в полноценный обход аутентификации. Первая проблема, получившая идентификатор CVE-2025-13315, представляет собой обход контроля доступа к API. Злоумышленники могут отправлять запросы к конечной точке /nmc/rpc/log_getfile без предоставления учетных данных аутентификации. Хотя этот endpoint должен быть защищен, он остается доступным через альтернативную маршрутизацию. При обращении конечная точка возвращает файлы журналов приложения, содержащие зашифрованный пароль администратора.
Вторая уязвимость CVE-2025-13316 делает украденный зашифрованный пароль бесполезным для защиты. Twonky Server использует шифрование Blowfish для защиты паролей администраторов, но ключи шифрования жестко встроены непосредственно в скомпилированный двоичный файл. Приложение хранит пароли в формате ||{KEY_INDEX}{ENCRYPTED_PASSWORD}, что позволяет атакующим легко определить, какой из двенадцати предустановленных ключей использовался для шифрования. С этой информацией злоумышленники могут расшифровать пароль за секунды с помощью общедоступных библиотек Blowfish.
Получив учетные данные администратора, атакующий получает полный контроль над экземпляром Twonky Server. Это включает доступ ко всем хранящимся медиафайлам, возможность остановки сервера, изменения конфигураций и потенциального распространения на другие системы в сети. Twonky Server обычно работает на NAS-устройствах, маршрутизаторах и встроенных системах, что делает успешные компрометации особенно опасными в домашних и малых бизнес-средах.
Модуль Metasploit, выпущенный вместе с публикацией об уязвимостях, демонстрирует полную цепочку эксплуатации. Атакующий может извлечь зашифрованные учетные данные за секунды и расшифровать их для получения паролей администратора в открытом виде. Для проведения атаки не требуются специализированные инструменты или продвинутые техники эксплуатации - достаточно базовых знаний о HTTP-запросах и шифровании Blowfish.
Решение вендора прекратить коммуникацию после получения информации об уязвимостях и явный отказ от выпуска исправлений означает, что пострадавшим пользователям придется защищаться самостоятельно без поддержки производителя. Организации и частные лица, использующие Twonky Server 8.5.2, должны немедленно предположить, что их учетные данные администратора скомпрометированы.
Эксперты рекомендуют несколько немедленных мер защиты. Прежде всего, необходимо ограничить весь трафик Twonky Server доверенными IP-адресами. Если сервер доступен из интернета, его следует отключить или разместить за брандмауэром. Следует рассмотреть альтернативные решения для медиасерверов, которые получают активную поддержку безопасности. Если невозможно отказаться от использования Twonky Server, необходимо реализовать сегментацию сети и мониторинг подозрительной активности аутентификации на устройствах.
Отсутствие реакции со стороны вендора демонстрирует риски развертывания неподдерживаемого программного обеспечения в сетевых средах. До появления исправлений конфигурация сетевой защиты остается единственным доступным вариантом. Пользователи должны осознавать, что продолжение использования уязвимой версии создает серьезные риски для безопасности всей сети. Ситуация подчеркивает важность регулярного обновления программного обеспечения и выбора решений с активной поддержкой безопасности.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-13316
- https://www.cve.org/CVERecord?id=CVE-2025-13315
- https://www.rapid7.com/blog/post/cve-2025-13315-cve-2025-13316-critical-twonky-server-authentication-bypass-not-fixed/
