CVE-2025-4404 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Red Hat FreeIPA 未验证 `krbCanonicalName` 唯一性。 💥 **后果**:攻击者可获取 **REALM 管理员凭据**,进而执行任意管理任务,彻底接管系统。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-1220(不正确的唯一性验证)。 🐛 **缺陷点**:在创建服务时,系统未严格检查 `krbCanonicalName` 是否已存在,导致可伪造或覆盖关键标识。
Q3影响谁?(版本/组件)
📦 **产品**:Red Hat FreeIPA。 📌 **范围**:受影响版本包括 **FreeIPA 4.12.4** 及可能存在相同逻辑缺陷的其他版本(需参考官方公告)。
Q4黑客能干啥?(权限/数据)
👑 **权限**:从普通主机账户提升至 **REALM 管理员**。 📂 **数据**:可执行所有管理任务,包括修改策略、管理用户和审计日志,完全控制身份管理基础设施。
Q5利用门槛高吗?(认证/配置)
🔑 **认证**:需要 **域内主机账户权限**(如 `host/pc1.test.local`)。 ⚙️ **配置**:利用默认配置,无需额外复杂设置,门槛中等,但需内网访问。
Q6有现成Exp吗?(PoC/在野利用)
💻 **PoC**:有现成代码!GitHub 上已有 POC(如 `Cyxow/CVE-2025-4404-POC`)。 🔓 **利用**:通过 `kinit` 获取票据,LDAP 添加服务并设置冲突名称即可利用。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 FreeIPA 版本是否 <= 4.12.4。 📝 **特征**:监控 LDAP 中 `krbCanonicalName` 属性的异常写入或重复值,特别是由主机账户发起的操作。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:已发布! 📜 **公告**:参考 RHSA-2025:9190, 9184, 9191, 9189。 ✅ **动作**:立即升级 FreeIPA 至修复版本。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**:若无补丁,限制主机账户对 LDAP 的写入权限。 🚫 **监控**:严格审计 `krbCanonicalName` 属性的变更操作,禁止非管理员账户修改此字段。
Q10急不急?(优先级建议)
🔥 **优先级**:**极高 (Critical)**。 🚀 **建议**:CVSS 评分满分倾向,直接导致管理员权限沦陷。建议 **立即** 应用补丁或实施严格访问控制。