Critical Twonky Server Vulnerabilities Let Attackers Bypass Authentication
2025/11/20 CyberSecurityNews — Twonky Server バージョン 8.5.2 には、深刻な認証バイパスの脆弱性 CVE-2025-13315/CVE-2025-13316 が存在する。Rapid7 が明らかにしたのは、これらの脆弱性が未認証の攻撃者に連鎖的に悪用され、ユーザーによる操作や有効な認証情報なしに、管理者アカウントが侵害される可能性があることだ。これらの脆弱性は、Twonky Server の Linux/Windows プラットフォームに影響を与え、サーバ・ソフトウェアへの完全な管理者アクセス権を、攻撃者に許すことになる。
Twonky Server は、世界中の NAS/Router/Set-Top Box/Gateways などに広く導入されている。Shodan のデータによると、現在約 850 のインスタンスがパブリック・インターネットに公開されている。
攻撃者による認証バイパス
1つ目の脆弱性 CVE-2025-13315 を悪用する攻撃者は、代替ルーティング・メカニズムを介して API 認証制御をバイパスできる。
標準の “/rpc/” パスの代わりに “/nmc/rpc/” プレフィックスを使用する攻撃者は、認証を必要とすることなく “log_getfile” エンドポイントにアクセスできる。
このエンドポイントは、管理者のユーザー名と暗号化されたパスワードを含む、アプリケーション・ログを公開してしまう。
2つ目の脆弱性 CVE-2025-13316 は、パスワードの復号を容易にする。Twonky Server は、すべてのインストールでハードコードされた Blowfish 暗号化キーを使用している。
| CVE | Description | CVSS Score |
|---|---|---|
| CVE-2025-13315 | API authentication bypass via alternative routing | 9.3 (Critical) |
| CVE-2025-13316 | Hardcoded encryption keys enable password decryption | 8.2 (High) |
Rapid7 の研究者たちが特定したのは、コンパイルされたバイナリに埋め込まれた 12 個の静的キーである。つまり、暗号化されたパスワードを取得した攻撃者は、これらの埋め込まれたキーを用いてパスワードを平文に復号できてしまう。
これらの脆弱性は、Rapid7 から Twonky Server のベンダである Lynx Technology へと適切に報告された。しかし、技術情報を受領した Lynx は、パッチの提供は不可能であると述べている。
最新リリースであるバージョン 8.5.2 には、これらの脆弱性に関するセキュリティ・アップデートが含まれていない。したがって、Twonky Server を利用している組織にとって必要なことは、アプリケーション・トラフィックを信頼できる IP アドレスのみに速やかに制限することである。
このサーバが信頼できないネットワークに公開されている場合は、すべての管理者認証情報が侵害されたとみなし、ローテーションする必要がある。
Rapid7 は、完全なエクスプロイト・チェーンを実証する Metasploit モジュールをリリースしており、脆弱性スキャン・ツールに検出機能を提供する予定である。
Twonky Server に存在する認証バイパスの脆弱性により、管理者アカウントの侵害が可能になるようです。原因の中心にあるのは、認証をすり抜けてしまう代替ルーティングと、すべてのインストールに共通するハードコードされたキーです。この2つが連鎖することで、攻撃者はログから暗号化されたパスワードを取得し、容易に復号できてしまいます。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.