CVE-2025-13053: CWE-311 ASUSTOR ADM 中敏感数据加密缺失

严重性：高类型：漏洞 CVE：CVE-2025-13053

当用户配置 NAS 以检索 UPS 状态或控制 UPS 时，未强制执行的 TLS 证书验证可能允许能够拦截客户端与服务器之间网络流量的攻击者执行中间人（MITM）攻击，从而可能获取 UPS 服务器配置的敏感信息。

此问题影响 ADM 版本：从 4.1.0 到 4.3.3.RKD2，以及从 5.0.0 到 5.1.0.RN42。

技术摘要

CVE-2025-13053 是一个被归类为 CWE-311（敏感数据加密缺失）的漏洞，影响版本为 4.1.0 至 4.3.3.RKD2 以及 5.0.0 至 5.1.0.RN42 的 ASUSTOR ADM NAS 设备。该问题源于当用户配置 NAS 以检索或控制 UPS（不间断电源）状态时，ADM 软件未能强制执行 TLS 证书验证。这种不当的 TLS 实现使得能够拦截客户端与 NAS 服务器之间网络流量的攻击者可以实施中间人（MITM）攻击。通过这种 MITM 攻击，对手可以捕获与 UPS 服务器配置相关的敏感信息，这些信息可能包括凭据、控制命令或状态数据。该漏洞可通过网络远程利用，无需身份验证或用户交互，从而增加了其风险状况。CVSS 4.0 基础评分为 7.0（高），反映了网络攻击向量、低攻击复杂性、无需特权、无需用户交互以及对机密性的部分影响。影响范围（Scope）为高，表明该漏洞影响的组件超出了易受攻击的软件本身。尽管目前尚未发现野外利用，但该漏洞的性质使其成为依赖 ASUSTOR ADM 进行 NAS 和 UPS 集成的环境中的一个重要关注点。缺乏强制的 TLS 证书验证是一个关键加密缺陷，会破坏敏感操作数据的机密性。此漏洞凸显了在网络设备管理界面中正确实施 TLS 的重要性。

潜在影响

对于欧洲组织而言，CVE-2025-13053 的影响可能非常重大，特别是对于那些在 UPS 管理至关重要的环境中（如数据中心、工业控制系统和企业 IT 基础设施）部署 ASUSTOR ADM NAS 设备的组织。UPS 配置数据的暴露可能导致攻击者深入了解电源管理策略，从而可能引发进一步破坏可用性或导致运行停机的攻击。机密性泄露也可能暴露凭据或控制命令，增加未经授权的 UPS 操作风险。这可能导致意外关机或硬件损坏，影响业务连续性。该漏洞无需身份验证即可远程利用，这意味着如果攻击者能够拦截流量（例如，通过受损的网络段或恶意内部人员），他们可以从组织外部边界之外进行操作。鉴于欧洲企业越来越依赖 NAS 设备进行关键数据存储和备份，此漏洞通过 UPS 控制妥协间接对数据完整性和可用性构成风险。缺乏已知利用会降低直接风险，但并不能消除未来攻击的可能性，尤其是在威胁行为者发展利用 TLS 弱点的能力时。

缓解建议

为了缓解 CVE-2025-13053，欧洲组织应实施以下具体措施：1）立即将 ASUSTOR ADM 设备更新到 5.1.0.RN42 之后的版本，或应用供应商提供的补丁（一旦可用），因为当前受影响的版本缺乏强制 TLS 证书验证。2）在所有 NAS 设备和与 UPS 管理界面交互的客户端系统上强制执行严格的 TLS 证书验证策略，以防止 MITM 攻击。3）对网络进行分段，将 NAS 设备和 UPS 管理流量与普通用户和面向互联网的网络隔离，降低流量拦截风险。4）部署能够识别异常 TLS 握手行为或 MITM 攻击特征的网络监控和入侵检测系统。5）使用 VPN 或加密隧道进行对 NAS 设备的远程管理访问，以增加额外的加密和身份验证层。6）定期审计和审查 UPS 配置及访问日志，以发现未经授权访问或配置更改的迹象。7）对 IT 人员进行有关不当 TLS 实施风险和证书管理重要性的教育。这些有针对性的行动超越了通用建议，专注于特定的 TLS 验证缺陷以及 ASUSTOR ADM 设备上 UPS 管理的操作环境。

受影响国家

德国、法国、英国、荷兰、意大利、西班牙、波兰、比利时、瑞典、瑞士 aeYFGlNGPch5/i0AskAWpmMVXj3lzK9JFM/1O1GWF7D1/aJUNsXCcd0A3iDmAqSgTm4zu1akYRXvPYLEMsUei/Oceny/TZfRRADprfvla2EPjziu5RcXx+e2S2Gskkpd 更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享