TeamViewer DEX Nomad 服務劫持漏洞（CVE-2025-64992）

TeamViewer DEX（原稱 1E DEX）在 25.0 版之前的實作中，發現一處命令注入漏洞。攻擊者若能在「1E‑Nomad‑PauseNomadJobQueue」指令中注入惡意參數，將能以 Actioner 權限執行任意系統指令，進而遠端控制受影響裝置。漏洞於 2025‑12‑26 由 CVETodo 先後披露，並引發多家安全機構警示。

漏洞概述

• Vulnerability Type：Command Injection（命令注入）
• Affected Component：TeamViewer DEX 1E‑Nomad‑PauseNomadJobQueue（< 25.0）
• Trigger：不正確的輸入校驗，允許在指令字串內插入 shell 轉義符號
• Exploit Payload 範例：

# 原始指令
pauseJob 12345

# 注入示例（以 Windows 為例）
pauseJob 12345 & del /q /f "C:WindowsSystem32driversetchosts"

# 以上將在目標主機上刪除 hosts 檔案

(CVE-2025-64992, 2025)

攻擊面與危害

• 高權限執行：攻擊者須以 Actioner 或更高權限登入，此權限在 TeamViewer DEX 中相當於系統管理員。
• 可能取得 機密資訊、修改系統設定，甚至執行惡意程式。
• 若被利用於企業內部，能夠在遠端桌面會話中執行任意指令，造成 資料外洩、服務中斷。

影響範圍與評估

TeamViewer DEX 主要用於企業 IT 支援、遠程桌面、雲端管理等場景。若企業仍使用 25.0 版以下，且未設置嚴格的輸入驗證與權限分離，則易受此漏洞影響。根據 CVETodo 的評估，該漏洞的 CVSS 3.1 分數為 9.8（Critical），適用於所有執行 1E‑Nomad‑PauseNomadJobQueue 的裝置。

Mitigation & Patch

• 立即升級 TeamViewer DEX 至 25.0 或以上版本；官方已在 25.1 版中修補輸入驗證問題。
• 在升級前，暫停所有遠程會話，避免在修補過程中被利用。
• 若無法立即升級，建議啟用 輸入白名單 與 最小權限原則，將 Actioner 權限限制於必要作業。

防禦建議

• 權限分離：將遠程管理帳號與日常操作帳號分離；確保 Actioner 只在必要時使用。
• 輸入驗證：對所有遠程指令進行嚴格的正則表達式校驗，拒絕任何包含特殊字元或 shell 轉義符的輸入。
• 網路隔離：將 TeamViewer DEX 服務放置於信任區域，僅允許內部網路或 VPN 連線，並使用防火牆規則限制外部 IP。
• 監控與告警：啟用 Syslog 或 SIEM 收集遠程指令執行情形，設定異常指令執行告警；使用 WAF 或 IPS 監控可疑請求。
• 結合 零日防禦工具（如 OpenVAS、Qualys）定期掃描，確保未遺漏相似的輸入驗證缺陷。

MITRE ATT&CK 對應

• T1059 – 命令與腳本執行（Command and Scripting Interpreter）
• T1064 – 命令執行（Command Execution）
• T1071 – 服務外部系統（Application Layer Protocol）— 因遠程桌面協議傳輸指令

參考資料與原文來源

• 🔗 原文來源: CVE-2025-64992 – TeamViewer DEX Command Injection
• 🔗 原文來源: 遠控安全進階之戰：TeamViewer/ToDesk/向日葵設備安全策略對比

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。