خانه » CVE-2025-10689
هشدار‌های سایبری

CVE-2025-10689

D-Link DIR-645 Soap.Cgi Soapcgi_main Command Injection

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 21 بازدید
هشدار سایبری CVE-2025-10689
  • شناسه CVE-2025-10689 :CVE
  • CWE-77, CWE-74 :CWE
  • yes :Advisory
  • منتشر شده: سپتامبر 18, 2025
  • به روز شده: سپتامبر 18, 2025
  • امتیاز: 6.3
  • نوع حمله: Command Injection
  • اثر گذاری: Unknown
  • حوزه: تجهیزات شبکه و امنیت
  • برند: D-link
  • محصول: DIR-645
  • وضعیتPublished :CVE
  • Yes :POC
  • وضعیت آسیب پذیری: patch نشده

چکیده

یک آسیب‌پذیری در روتر D-Link DIR-645 با نسخه فریم ور 105B01 به دلیل تزریق فرمان (Command Injection) در تابع soapcgi_main فایل  /soap.cgiشناسایی شده است. این آسیب پذیری به مهاجمان احراز هویت شده اجازه می دهد که با دستکاری پارامتر service و از راه دور، دستورات دلخواه را روی سیستم اجرا کرده و به طور غیر مجاز کنترل دستگاه را به دست آورند.

توضیحات

آسیب‌پذیری CVE-2025-10689 در روتر D-Link DIR-645، ناشی از عدم پاک‌سازی مناسب پارامتر service در تابع soapcgi_main فایل /soap.cgi است که به مهاجمان اجازه می‌دهد از طریق تزریق فرمان (Command Injection) دستورات دلخواه سیستم را اجرا کنند. این ضعف امنیتی مطابق با CWE-77 و CWE-74 طبقه‌بندی می‌شود.

این آسیب‌پذیری در نسخه فریم‌ور DIR645A1_FW105B01 وجود دارد و به مهاجمان احراز هویت‌شده اجازه می دهد با دستکاری پارامتر service، از طریق توابع snprintf و system، بدون هیچ نوع اعتبارسنجی یا پاک‌سازی مناسب، دستورات خود را به سیستم ارسال کنند.  v3 URL در تابع soapcgi_main، درخواست ورودی را به‌طور مستقیم دریافت کرده و در ادامه از طریق توالی‌های مختلف v3->v9->v10->v14 به snprintf منتقل می‌شود که این مقدار به system ارسال شده و به مهاجم امکان اجرای دستورات دلخواه را می دهد.

این آسیب‌پذیری بدون نیاز به تعامل از سوی کاربر و از راه دور قابل بهره‌برداری است. مهاجم تنها با ارسال یک درخواست POST مخرب به دستگاه می تواند دستورات خود را اجرا کند.

پیامدهای این آسیب‌پذیری شامل نقض محرمانگی با دسترسی به داده‌های حساس روتر، یکپارچگی با تغییر تنظیمات دستگاه و اختلال در در دسترس‌پذیری با ایجاد اختلال در دستگاه است. در سناریوی نهایی، مهاجم می‌تواند کنترل کامل دستگاه را در دست آورد. کد اثبات مفهومی (PoC) منتشر شده به‌صورت یک اسکریپت پایتون است که درخواست POST را با تزریق دستور ping ارسال کرده و خروجی آن را نمایش می‌دهد. این کد اثبات می‌کند که مهاجم به‌راحتی می‌تواند از این آسیب‌پذیری برای اجرای دستورات دلخواه استفاده کند.

با توجه به اینکه D-Link DIR-645 در پایان دوره پشتیبانی رسمی (End of Support – EOS) قرار دارد، بنابراین برای آن پچ یا به روزرسانی منتشر نخواهد شد.

CVSS

Score Severity Version Vector String
5.3 MEDIUM 4.0 CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P
6.3 MEDIUM 3.1 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R
6.3 MEDIUM 3.0 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R
6.5 2.0 AV:N/AC:L/Au:S/C:P/I:P/A:P/E:POC/RL:ND/RC:UR

 لیست محصولات آسیب پذیر

Versions Product
affected at 105B01 DIR-645

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که D-Link DIR-645 را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Product
45 D-Link DIR-645

 نتیجه گیری

این آسیب‌پذیری در روتر D-Link DIR-645، با توجه به شدت متوسط و امکان تزریق فرمان  (Command Injection) توسط کاربران احراز هویت‌شده، تهدیدی قابل توجه برای امنیت شبکه‌ها ایجاد می‌کند که می‌تواند منجر به اجرای دستورات دلخواه، دسترسی به فایل‌های حساس یا کنترل کامل دستگاه شود. با توجه به پایان دوره پشتیبانی (EOS) از این محصول، اجرای فوری اقدامات زیر برای کاهش ریسک ضروری است:

  • جایگزینی دستگاه: فوراً استفاده از DIR-645 را متوقف کرده و آن را با مدل‌های جدیدتر و امن‌تر جایگزین کنید.
  • اعتبارسنجی ورودی‌ها: در صورت امکان، از پروکسی یا فایروال برای فیلتر کردن درخواست‌های POST به /soap.cgi و محدود کردن پارامتر service استفاده کنید.
  • محدودسازی دسترسی شبکه: دسترسی از راه دور به روتر را غیرفعال کنید، از VPN برای مدیریت استفاده نمایید و پورت‌های HTTP/HTTPS را فقط برای IPهای مجاز باز کنید.
  • نظارت بر ترافیک: لاگ‌های روتر را برای شناسایی درخواست‌های مشکوک به cgi بررسی کنید و از ابزارهای IDS/IPS برای تشخیص تزریق فرمان بهره ببرید.
  • تغییر تنظیمات پیش‌فرض: رمز عبور پیش‌فرض را تغییر دهید، ویژگی‌های SOAP را در صورت غیرضروری بودن غیرفعال کنید و از پروتکل‌های امن برای دسترسی به روتر استفاده نمایید.
  • آموزش کاربران: مدیران شبکه را در مورد ریسک تزریق فرمان در روترهای قدیمی آگاه کنید و استفاده از تجهیزات مدرن را الزامی سازید.

اجرای این اقدامات، ریسک بهره‌برداری از این آسیب‌پذیری را به حداقل رسانده و امنیت شبکه را تا زمان جایگزینی دستگاه بهبود می بخشد.

امکان استفاده در تاکتیک های Mitre Atatck

Initial Access (TA0001)

دسترسی اولیه از طریق اندپوینت وب /soap.cgi  حاصل می‌شود. مهاجمِ احراز‌هویت‌شده با ارسال درخواست شبکه‌ایِ crafted  مثلاً  POST و دستکاری پارامتر service، بدون نیاز به تعامل کاربر، وارد جریان بهره‌برداری می‌شود.

Execution (TA0002)

به‌دلیل تزریق فرمان در تابع soapcgi_main، مقدار آلوده service  پس از قالب‌بندی وارد مسیر اجرای دستور سیستم‌عامل می‌شود و زنجیره فراخوانی به نهایتاً اجرایsystem()  ختم می‌گردد. نتیجه، اجرای فرمان دلخواه روی روتر در کانتکست وب‌سرویس فرآیند CGI است (اجرای کد از راه دور).

Persistence (TA0003)

پس از اجرای موفق کد، مهاجم می‌تواند ماندگاری ایجاد کند: افزودن اسکریپت‌های راه‌انداز، کران‌جاب‌ها، دست‌کاری NVRAM/ پیکربندی‌های بوت، استقرار وب‌شل یا فعال‌سازی سرویس‌های از کار افتاده تا پس از ریبوت نیز دسترسی حفظ شود.

Privilege Escalation (TA0004)

در صورتی‌که فرآیند وب /CGI  با امتیازهای بالا اجرا شود، اجرای فرمان عملاً در سطح همان امتیاز رخ می‌دهد

Credential Access (TA0006)

با دسترسی شلی، خواندن فایل‌های پیکربندی امکان‌پذیر است: گذرواژه مدیریت روتر، کلید/عبارت‌های بی‌سیم، اعتبارنامه های PPPoE/VPN یا کلیدهای ذخیره‌شده محلی. همچنین توکن‌ها/کوکی‌های مدیریتی و بکاپ‌های تنظیمات قابل استخراج‌اند.

Discovery (TA0007)

اجرای دستورات تشخیصی برای شناسایی محیط شبکه و دستگاه: اینترفیس‌ها، جدول‌های مسیریابی/NAT، لیست کلاینت‌های متصل، سرویس‌های فعال، پورت‌های باز و نسخه فریم‌ور ممکن هستند

Lateral Movement (TA0008)

با تکیه بر جایگاه روتر در مرز شبکه، مهاجم می‌تواند به میزبان‌های داخل LAN حرکت جانبی انجام دهد، پورت‌فورواردینگ/فایروال را بازنویسی کند، یا تونل/پروکسی خروجی ایجاد نماید تا به سرویس‌های داخلی دسترسی یابد.

Exfiltration (TA0010)

خروج داده از طریق کانال‌های رایج شبکه HTTP/HTTPS، DNS  تونلینگ، اتصال معکوس، یا بارگذاری به میزبان‌های کنترل، با امکان تکه‌تکه‌سازی و زمان‌بندی برای کاهش جلب توجه می تواند صورت گیرد.

Command and Control (TA0011)

ایجاد کانال فرماندهی و کنترل با اتصال معکوس شل، یا فعال‌سازی سرویس‌های راه‌دور (telnet/SSH) و نگه‌داشت درگاه‌های مدیریتی برای دریافت دستور و انتقال نتایج ممکن است.

Impact (TA0040)

پیامدها شامل اجرای کد از راه دور روی روتر، نقض محرمانگی (افشای اعتبارنامه ها/پیکربندی‌ها)، نقض یکپارچگی (تغییر تنظیمات مسیریابی/فایروال/فریم‌ور)، و اختلال در دسترس‌پذیری خدمات شبکه است. در بدترین حالت، مهاجم کنترل کامل مسیر ترافیک و سیاست‌های امنیتی پیرامونی را در دست می‌گیرد.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-10689
  2. https://www.cvedetails.com/cve/CVE-2025-10689/
  3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-10689
  4. https://vuldb.com/?submit.653689
  5. https://vuldb.com/?id.324813
  6. https://vuldb.com/?ctiid.324813
  7. https://github.com/scanleale/IOT_sec/blob/main/DIR-645-soapcgi.pdf
  8. https://nvd.nist.gov/vuln/detail/CVE-2025-10689
  9. https://cwe.mitre.org/data/definitions/77.html
  10. https://cwe.mitre.org/data/definitions/74.html

همچنین ممکن است دوست داشته باشید

CVE-2025-7493

CVE-2025-55476

CVE-2025-10779

CVE-2025-10953

CVE-2025-10964

CVE-2025-10975

CVE-2025-10911

CVE-2025-10994

CVE-2025-10540

CVE-2025-10137

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.

send
سوالی دارید؟
می تونید از من بپرسید 👋 ×