ITSM巨头沦陷：BMC FootPrints曝出未授权RCE漏洞链

🔓 Critical 漏洞利用

安全研究人员在BMC FootPrints（ITSM解决方案）中发现四个高危漏洞，包括认证绕过、两个SSRF及反序列化RCE，攻击者可无需认证实现远程代码执行。该漏洞链影响20.20.02至20.24.01.001版本，由于ITSM系统常存储敏感IT资产与配置信息，极易被勒索软件组织利用。

来源：watchTowr Labs | 0 | 原文链接

🔍 关键发现

• CVE-2025-71257：认证绕过漏洞，允许未授权用户绕过isAuthenticated()过滤器。
• CVE-2025-71258/71259：两个服务端请求伪造漏洞，可被用于内网探测或绕过访问控制。
• CVE-2025-71260：反序列化漏洞，结合Aspectjweaver gadget可实现远程代码执行。
• 漏洞链覆盖BMC FootPrints 20.20.02至20.24.01.001版本，BMC已于2025年9月发布热修复。

⚔️ 攻击链分析

1. 利用CVE-2025-71257认证绕过漏洞，未授权访问受限端点； 2. 通过SSRF漏洞（CVE-2025-71258/71259）进行内网探测或触发后续请求； 3. 结合反序列化漏洞CVE-2025-71260，利用Aspectjweaver gadget实现远程代码执行。

🚩 失陷指标 (IOC)

• 异常请求路径：/footprints/servicedesk/*（未授权访问模式）
• 反序列化payload特征：Aspectjweaver gadget相关字节码
• SSRF探测：内网IP/端口扫描流量（如127.0.0.1:8080等）

🛡️ 缓解建议

• ✅ 立即升级BMC FootPrints至20.24.01.001以上版本（或对应分支热修复版本）。
• ✅ 在网络边界部署WAF/IPS，对未授权访问、SSRF及反序列化攻击进行检测与阻断。
• ✅ 限制FootPrints服务仅对内网可信IP开放，并启用最小权限原则。

涉及漏洞：["CVE-2025-24813""CVE-2025-71260""CVE-2025-71257""CVE-2025-71258""CVE-2025-71259"]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。