CVE-2025-3538

چکیده

یک آسیب‌پذیری در روتر D-Link DI-8100 نسخه 16.07.26A1،در کامپوننت jhttpd تابع auth_asp و فایل /auth.asp شناسایی شده است. در این آسیب پذیری، مهاجم با دستکاری پارامتر callback می تواند باعث سرریز بافر مبتنی بر پشته (Stack-based Buffer Overflow) شود که در نتیجه ممکن است منجر به ایجاد شرایط انکار سرویس(DoS) یا اجرای فرمان از راه دور گردد.

توضیحات

آسیب‌پذیری CVE-2025-3538 در روتر D-Link DI-8100 ناشی از سرریز بافر مبتنی بر پشته مطابق با CWE-121 و خرابی حافظه مطابق با CWE-119 در کامپوننت jhttpd است. در تابع auth_asp واقع در فایل /auth.asp، پارامتر callback بدون بررسی طول، با استفاده از sprintf به بافر v65 کپی می‌شود. اگر مقادیر usr و pwd خالی باشند، این کپی منجر به سرریز پشته می‌شود و مهاجم می‌تواند آدرس بازگشت را بازنویسی کند.

صفحه /auth.asp بدون نیاز به احراز هویت قابل دسترسی است، بنابراین یک مهاجم در شبکه لوکال می‌تواند بدون ورود به دستگاه درخواست‌های اکسپلویت را ارسال کند. بهره‌برداری از این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با اسکریپت‌های خودکار، از راه دور (در شبکه مجاور)، بدون تعامل کاربر و بدون نیاز به دسترسی، پارامتر callback را با پیلود پر کرده و تابع را فعال نماید تا شرایط انکار سرویس یا اجرای فرمان حاصل شود.

پیامدهای آسیب‌پذیری شامل تأثیر بالا بر محرمانگی، یکپارچگی و در دسترس‌پذیری است؛ اجرای فرمان می‌تواند منجر به کنترل کامل روتر، سرقت تنظیمات یا اختلال در شبکه شود. کدِ اثباتِ مفهومی (PoC) عمومی منتشر شده و با ابزار شبیه‌سازی فریم‌ور (FirmAE) آزمایش شده است؛ این کد نشان می‌دهد که آدرس بازگشت با مقدار ساده‌ای مانند “ABCD” قابل بازنویسی است و نسخه‌های عملی‌تر می‌توانند زنجیره ROP جهت اجرای واقعی کد تولید کنند. تاکنون D-Link پچ یا به روزرسانی رسمی برای این آسیب پذیری منتشر نکرده است.

CVSS

لیست محصولات آسیب پذیر

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که روتر D-Link را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در روتر D-Link DI-8100، امکان سرریز پشته در کامپوننت jhttpd را فراهم می کند و می‌تواند از طریق شبکه لوکال منجر به انکار سرویس یا اجرای فرمان دلخواه از راه دور شود. با توجه به عدم انتشار پچ رسمی توسط D-Link، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

• جایگزینی فوری: روترهای DI-8100 را در اسرع وقت با مدل‌های جدیدتر D-Link یا تجهیزات پشتیبانی شده جایگزین کنید.
• استفاده از فایروال: دسترسی به مسیر ‎/auth.asp‎ را با استفاده از فایروال روتر (در صورت امکان تنظیم) یا فایروال لایه بالاتر شبکه، مثل pfSense، مسدود کنید و شبکه‌ی بی‌سیم (Wi-Fi) را با فعال‌سازی WPA3 و قابلیت جداسازی کاربران مهمان (Guest Isolation) ایمن کنید
• نظارت بر ترافیک: لاگ‌های روتر و شبکه را برای درخواست‌های مشکوک به/auth.asp با طول طولانی بررسی کنید و از IDS/IPS استفاده نمایید.
• ایزوله‌سازی شبکه: روتر را در DMZ (Demilitarized Zone) قرار دهید و دسترسی از راه دور (مانند UPnP یا مدیریت از راه دور) را غیرفعال کنید.
• تست امنیتی: با ابزارهایی مانند RouterSploit یا کدهای اثبات‌مفهوم (PoC) موجود در گیت‌هاب، روتر را در یک محیط ایزوله (شبکه آزمایش یا VLAN جدا) اسکن و اکسپلویت را تست کنید تا اثر و ریسک واقعی را بدون ایجاد ریسک برای شبکه تولیدی ارزیابی نمایید.
• آموزش کاربران: تیم‌های شبکه را درباره ریسک‌های استفاده از روترهای قدیمی و اهمیت به روزرسانی فریم ور آموزش دهید.

اجرای این اقدامات، به‌ویژه جایگزینی سریع دستگاه و مسدودسازی اندپوینت، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش داده و امنیت شبکه‌ را به‌صورت قابل‌توجهی افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
آسیب‌پذیری به‌صورت قطعی «دسترسی آغازین» را از طریق شبکه مجاور (adjacent network) فراهم می‌کند — اندپوینت /auth.asp بدون نیاز به احراز هویت در دسترس است و پارامترِ crafted (callback) می‌تواند از راه دور ارسال شود.

Execution (TA0002)
گزارش‌ها و PoC نشان می‌دهد که سرریز بافر مبتنی بر پشته در تابع auth_asp می تواند منجر به اجرای کد از راه دور می‌شود

Persistence (TA0003)
پس از گرفتن RCE، مهاجم می‌تواند مکانیزم‌های تداوم مانند سرویس‌های persist‌ شده، اضافه‌کردن کاربر مدیریتی یا درج SSH key را فعال کند تا حتی بعد از ری‌استارت دستگاه کنترل حفظ شود.

Defense Evasion (TA0005)
مهاجم ممکن است لاگ‌ها را پاک یا تغییر دهد، قابلیت‌های مانیتورینگ/EDR را غیرفعال کند یا ابزارها را طوری پیکربندی کند که فعالیت‌هایش مخفی بماند

Credential Access (TA0006)
با RCE مهاجم می‌تواند فایل‌های پیکربندی، توکن‌ها، گواهی‌ها یا حافظه فرآیندها را برای استخراج credential هدف‌گیری کند.

Lateral Movement (TA0008)
با credential یا exploit chaining مهاجم می‌تواند از روتر به سرورهای داخلی حرکت کند و دامنه دسترسی را گسترش دهد.

Collection (TA0009)
مهاجم ممکن است داده‌های پیکربندی شبکه، فایل‌های routing ،credential dumps یا اطلاعات حساس را محلی جمع‌آوری کند تا برای حملات بعدی یا exfiltration آماده کند.

Exfiltration (TA0010)
بعد از RCE مهاجم می‌تواند کانال‌های خروجی بسازد (DNS tunneling, HTTPS, FTP, cloud uploads) و داده یا پیکربندی‌ها را خارج یا payloadهای ثانویه دانلود کند.

Privilege Escalation (TA0004)
بهره‌برداری موفق RCE در روتر به‌طور عملیاتی به تسلط کامل روی دستگاه (root/privileged) می‌انجامد؛ مهاجم می‌تواند تنظیمات، حساب‌ها، و توکن‌ها را تغییر دهد و کنترل مدیریتی را به‌دست آورد.

Impact (TA0040)
اثرات قطعی و بسیار محتمل شامل Denial-of-Service (kernel/firmware crash یا حذف سرویس، از دست رفتن کنترل مدیریتی (instance takeover) ، سرقت یا تغییر پیکربندی شبکه و امکانِ زنجیره‌سازی حمله به داخل شبکه‌ داخلی هستند — یعنی Confidentiality/Integrity/Availability همگی می‌توانند به سطح بالا تحت تاثیر قرار گیرند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-3538
2. https://www.cvedetails.com/cve/CVE-2025-3538/
3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-3538
4. https://vuldb.com/?submit.524224
5. https://vuldb.com/?id.304577
6. https://vuldb.com/?ctiid.304577
7. https://github.com/Fizz-L/CVE1/blob/main/DI-8100Command%20execution2.md
8. https://nvd.nist.gov/vuln/detail/CVE-2025-3538
9. https://cwe.mitre.org/data/definitions/121.html
10. https://cwe.mitre.org/data/definitions/119.html