Falhas críticas do servidor Twonky permitem que hackers contornem a proteção de login

Falhas críticas do servidor Twonky permitem que hackers contornem a proteção de login

O Twonky Server versão 8.5.2 contém duas vulnerabilidades críticas de desvio de autenticação que permitem que invasores não autenticados roubem credenciais de administrador e assumam o controle total do servidor de mídia.

Pesquisadores de segurança da Rapid7 descobriram que um invasor pode vazar senhas de administrador criptografadas por meio de um sistema desprotegido. Ponto de extremidade da APIem seguida, descriptografe-os usando chaves de criptografia codificadas incorporadas diretamente no binário do aplicativo.

O fornecedor recusou-se a emitir patches, deixando cerca de 850 instâncias expostas publicamente em risco imediato.

Como funciona o ataque

A cadeia de vulnerabilidades combina duas falhas separadas em um desvio completo de autenticação.

Primeiro, os invasores exploram um desvio de controle de acesso da API (CVE-2025-13315) enviando solicitações para /nmc/rpc/log_getfileendpoint sem credenciais de autenticação.

Este endpoint deveria estar protegido, mas permanece acessível através de roteamento alternativo.

Quando acessado, o endpoint retorna arquivos de log do aplicativo contendo a senha criptografada do administrador.

A segunda vulnerabilidade (CVE-2025-13316) torna o roubo senha criptografada inútil para defesa.

O Twonky Server usa criptografia Blowfish para proteger senhas de administrador, mas as chaves de criptografia são codificadas diretamente no binário compilado.

O aplicativo armazena senhas no formato||{KEY_INDEX}{ENCRYPTED_PASSWORD}, tornando trivial para os invasores identificar qual das doze chaves codificadas foi usada para criptografia.

Com essas informações, os invasores podem descriptografar a senha em segundos usando bibliotecas Blowfish disponíveis publicamente.

Depois que um invasor obtém credenciais de administrador, ele tem controle total sobre a instância do Twonky Server.

Isso inclui acesso a todos os arquivos de mídia armazenados, a capacidade de desligar o servidor, modificar configurações e potencialmente migrar para outros sistemas na rede.

O Twonky Server normalmente é executado em dispositivos NAS, roteadores e sistemas embarcados, tornando os comprometimentos bem-sucedidos particularmente perigosos em ambientes domésticos e de pequenas empresas.

O módulo Metasploit lançado com esta divulgação demonstra a cadeia completa de exploração: um invasor pode extrair credenciais criptografadas em segundos e descriptografá-las para obter senhas de administrador em texto simples.

Não são necessárias ferramentas especializadas ou técnicas avançadas de exploração – o ataque pode ser executado com conhecimento básico de solicitações HTTP e criptografia Blowfish.

De acordo com Dados Shodanaproximadamente 850 instâncias do Twonky Server estão atualmente expostas à Internet pública.

A maioria dos usuários provavelmente não tem ideia de que seus servidores de mídia estão acessíveis on-line ou vulneráveis ​​a aquisição.

A decisão do fornecedor de interromper a comunicação após receber a divulgação e a sua recusa explícita em corrigir as vulnerabilidades significam que os utilizadores afetados devem defender-se sem o apoio do fornecedor.

Organizações e indivíduos que executam o Twonky Server 8.5.2 devem presumir imediatamente que as credenciais do administrador estão comprometidas.

Restrinja todo o tráfego do Twonky Server apenas a endereços IP confiáveis. Se o seu servidor estiver exposto à Internet, desconecte-o ou coloque-o atrás de um firewall.

Considere soluções alternativas de servidores de mídia que recebam suporte de segurança ativo.

Se você não puder evitar o uso do Twonky Server, implemente a segmentação de rede e monitore atividades de autenticação suspeitas em seus dispositivos.

A falta de resposta do fornecedor demonstra os riscos da implantação de software não suportado em ambientes de rede. Até que os patches estejam disponíveis, a configuração defensiva da rede é sua única opção.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial em Google.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.