漏洞概述 1. 漏洞标题: Seagull Scientific BarTender - 未认证的任意文件读写 + RCE & SMB 强制通过 .NET Remoting - 披露日期: 2026年3月6日 - CVE ID: CVE-2026-25550 - 漏洞作者: Victor A. Morales 和 Jan Rodriguez (GM Sectec, Corp.) - 厂商主页: Seagull Scientific - 已知受影响版本: 2016 <= R9, 2019 <= R10 描述: - BarTender 暴露了一个过时的 .NET Remoting TCP 通道,运行在端口 7375 上,并通过 BitSystem.Service.exe 服务可执行文件。这可以通过匿名认证利用 .NET TCP remoting 端点,该端点因版本而异,以将目标强制到攻击者指定的 SMB 共享或任意读写文件到服务器上下文中的 NT AUTHORITY\SYSTEM。通过修改 PoC 的 Code-Write-RemotingClient_MBRO.exe 程序实现自定义通道 sink 重定向 .NET Remoting 流量到正确的宿主并在安全模式下运行,未认证的远程攻击者可以利用 .NET Remoting 对象反序列化技术从服务器文件系统读取任意文件,将攻击者控制的文件发送到服务器,或强制 NTLMv2 认证到攻击者控制的宿主,根据服务账户权限和网络环境,启用敏感凭证泄露、拒绝服务、远程代码执行或横向移动。 PoC: 自定义通道修复代码片段: 2. 漏洞标题: Seagull Scientific BarTender - 未认证的 .NET Remoting 反序列化 + RCE - 披露日期: 2026年3月6日 - CVE ID: CVE-2026-25551 - 漏洞作者: Victor A. Morales 和 Jan Rodriguez (GM Sectec, Corp.) - 厂商主页: Seagull Scientific - 已知受影响版本: 2016 <= R9, 2019 <= R10, 2021 R1 through 12.0.1 描述: - BarTender 注册了一个 .NET remoting TCP 通道在端口 7375 上,运行在安全模式下暴露给所有接口,使用不安全的 BinaryServerFormatterSinkProvider 类和 TypeFilterLevel 值为 Full。未认证的攻击者可以生成恶意序列化有效负载并发送到 .NET remoting 端点,通过匿名认证获得远程代码执行在服务器上下文中的 NT AUTHORITY\SYSTEM。 - 从 2021 R1 开始的 BarTender 版本限制了 .NET remoting TCP 通道绑定到 localhost。尽管有此更改,服务仍然注册了不安全的 BinaryServerFormatterSinkProvider 类和 TypeFilterLevel 值为 Full,这仍然可以被利用来执行本地特权升级,将低权限用户提升到 NT AUTHORITY\SYSTEM。 PoC: 影响范围 CVE-2026-25550: 2016 <= R9, 2019 <= R10 CVE-2026-25551: 2016 <= R9, 2019 <= R10, 2021 R1 through 12.0.1 修复方案 页面中未提供具体的修复方案,建议用户联系厂商获取最新的安全更新和补丁。