Podatności w TeamViewer DEX

Oprogramowanie sygnowane marką TeamViewer nie pojawia się na naszych łamach po raz pierwszy. W przeszłości doniesienia dotyczące o problemach z usługami oferowanymi przez TeamViewera zdążyły już spowodować uzasadnione mocniejsze bicie serwera u wielu administratorów. Z całą pewnością szczególnie zapamiętana została sytuacja z 2016 roku, kiedy atakujący masowo przejmowali kontrolę nad systemami korzystającymi z rozwiązań TeamViewera do zdalnego dostępu. Zgodnie z pojawiającymi się wtedy relacjami samych użytkowników problem dotyczył tylko systemów z zalogowanymi kontami TeamViewera, jednak brak jasnego stanowiska firmy i powtarzające się przez kilka lat doniesienia o kolejnych przejęciach systemów, na których użytkowane były aplikacje klienckie TeamViewera nie pozostawiły po sobie dobrego wrażenia.

TLDR:

• Szereg podatności w TeamViewer DEX, platformie do zarządzania stacjami klienckimi w środowisku korporacyjnym. Znalezione luki pozwalają na zaakceptowanie do dystrybucji spreparowanego pliku i wykonanie kodu w kontekście procesu oraz awarię usługi (DoS).
• Warto pamiętać, że rozwiązania zdalnego zarządzania i dystrybucji oprogramowania mogą znacząco zwiększyć powierzchnię ataku nawet w przypadku błędów, które w prostym rzucie nie mają krytycznego charakteru

Na szczęście tym razem sytuacja nie jest aż tak poważna, choć koniecznie jeśli korzystacie z TeamViewer DEX, warto pochylić się nad tymi informacjami. TeamViewer Digital Employee Experience (DEX), dawniej 1E DEX, to platforma do zarządzania tzw. końcówkami (endpointami). Oprogramowanie to przeznaczone głównie dla środowisk korporacyjnych pomaga m.in. kontrolować proces dystrybucji poprawek, wykrywać i automatycznie naprawiać występujące problemy czy też zbierać telemetrię monitorowanych systemów. Na wstępie warto także wspomnieć o NomadBranch, który jest modułem Content Distribution w kliencie 1E. Moduł ten odpowiada za efektywną dystrybucję dużych pakietów (łatek, instalatorów) w sieci korporacyjnej. Wykorzystuje do tego techniki P2P/edge caching, aby zmniejszać ruch na centralnych serwerach. To właśnie ten komponent jest źródłem opisywanych problemów z bezpieczeństwem. Podatności stanowią dla nas zagrożenie tylko wtedy, gdy NomadBranch jest włączony.

Najpoważniejszym problemem okazał się ten oznaczony identyfikatorem CVE-2025-44016. W wyniku tej podatności mechanizm walidacji pliku może błędnie zaakceptować niepoprawną sumę kontrolną. Pozwala to atakującemu przesłać odpowiednio przygotowany plik wraz z „poprawnym” hashem, co może doprowadzić do sytuacji, w której usługa błędnie uzna go za zaufany i przetworzy. W wyniku takiej nieprawidłowej walidacji przesyłanego pliku, możliwe jest uruchomienie dowolnego kodu w kontekście usługi Nomad Branch. Podatność otrzymała wysoką ocenę 8.8 w CVSS 3.1 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

Następna podatność jest oznaczona identyfikatorem CVE-2025-12687. Specjalnie spreparowane żądanie mogło spowodować awarię procesu NomadBranch.exe odpowiadającego za działanie komponentu Content Distribution. Wykorzystanie podatności mogłoby spowodować przestój w dystrybucji poprawek/plików, co w przypadku niedostatecznego monitoringu i braku reakcji ze strony administracji otworzyłoby kolejne furtki w innym, pozbawionym aktualizacji oprogramowaniu. W CVSS 3.1 luka otrzymała ocenę 6.5 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H).

Podatność CVE-2025-46266 sprawia, że Content Distribution Service (NomadBranch.exe) może przekierować pakiet do dowolnego wewnętrznego adresu IP. Pozwala to uzyskać dostęp do zasobów dostępnych wyłącznie wewnątrz organizacji, do których potencjalny atakujący w normalnej sytuacji nie miałby dostępu (pivoting). Luka otrzymała ocenę 4.3 w CVSS 3.1 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N).

Seria podatności oznaczona identyfikatorami od CVE-2025-64986 do CVE-2025-64993 wiąże się z brakiem odpowiedniej walidacji wejścia w parametrze instrukcji, co przy odpowiednich uprawnieniach (rola Actioner) pozwala wstrzyknąć dodatkowe polecenia i wykonać je na podłączonych endpointach. Aby atak mógł się powieść, atakujący musi być uwierzytelniony i mieć uprawnienia do wykonywania instrukcji (jest to możliwe np. w przypadku przejęcia kontroli nad kontem operatora). W CVSS 3.1 podatności otrzymały oceny od 6.5 do 7.2.

Opisane powyżej błędy bezpieczeństwa klasyfikujemy jako podatności typu Improper Input Validation. Luka oznaczona identyfikatorem CVE-2025-64994 to przykład podatności typu Uncontrolled Search Path Element. Związana jest przede wszystkim z instrukcją 1E-Nomad-SetWorkRate. Lokalny użytkownik, który ma uprawnienie zapisu do jednego z katalogów z PATH, może podłożyć złośliwy plik, który następnie zostanie wykonany w kontekście procesu o wyższych uprawnieniach (SYSTEM). Nie jest to typowe RCE, bowiem potencjalny atakujący musi już posiadać pewne uprawnienia. Podatność otrzymała ocenę 6.5 w CVSS 3.1 (CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H).

Producent deklaruje, że w związku z wykrytymi problemami nie są wymagane żadne dodatkowe akcje poza aktualizacją co najmniej do wersji odpowiednio dla używanej gałęzi 1E Client, 25.11.0.29, 1E Client 25.9.0.46 – HF-PLTPKG-524 (Hotfix), 1E Client 25.5.0.53 – HF-PLTPKG-526 (Hotfix), 1E Client 24.5.0.69 – HF-PLTPKG-525 (Hotfix). Warto pamiętać, także w kontekście podobnych rozwiązań, że usługi zdalnego zarządzania i dystrybucji oprogramowania zwykle mają duży zasięg w ramach danej organizacji i w razie błędu mogą dramatycznie zwiększyć powierzchnię ataku.

~pu