CVE-2025-7529

شناسه CVE-2025-7529 :CVE
CWE-121, CWE-119 :CWE
yes :Advisory
منتشر شده: جولای 13, 2025
به روز شده: جولای 13, 2025
امتیاز: 8.8
نوع حمله: Stack-based Buffer Overflow

اثر گذاری: Denial of Service & Remote Code Execution
حوزه: تجهیزات شبکه و امنیت
برند: Tenda
محصول: FH1202
وضعیتPublished :CVE
Yes :POC
وضعیت آسیب پذیری: patch نشده

چکیده

آسیب‌پذیری سرریز بافر مبتنی بر پشته (Stack-based Buffer Overflow) در روتر Tenda FH1202 نسخه 1.2.0.14(408) در تابع fromNatlimit واقع در مسیر /goform/Natlimit شناسایی شده است. این ضعف زمانی رخ می‌دهد که مقدار پارامتر page بدون هیچ گونه بررسی طولی مستقیماً به تابع sprintf ارسال می‌شود و باعث نوشتن خارج از محدوده بافر پشته می‌گردد. مهاجم از راه دور و تنها با داشتن یک حساب کاربری احراز هویت‌شده می‌تواند با ارسال مقدار بسیار طولانی در پارامتر page سرریز ایجاد کرده و منجر به انکار سرویس (DoS) یا اجرای کد دلخواه (RCE) شود.

توضیحات

آسیب‌پذیری CVE-2025-7529 ناشی از سرریز بافر مبتنی بر پشته مطابق با CWE‑121 و خرابی حافظه مطابق با CWE‑119 در روترهای Tenda FH1202 در تابع fromNatlimit و فایل /goform/Natlimit است. در بخش آسیب‌پذیر این تابع، مقدار ورودی کاربر از طریق پارامتر page دریافت شده و بدون انجام بررسی طول، مستقیماً به تابع sprintf ارسال می‌شود. از آنجا که sprintf هیچ محدودیت یا کنترل طولی اعمال نمی‌کند، نوشتن داده بیش از اندازه باعث سرریز در بافر پشته و بازنویسی بخش‌هایی از حافظه از جمله آدرس بازگشت (Return Address) می‌شود. این عملکرد امکان کنترل جریان اجرای برنامه را برای مهاجم فراهم می‌کند. مهاجم برای سوءاستفاده تنها نیاز به یک حساب کاربری احراز هویت‌شده (کاربر معمولی یا ادمین روتر) دارد؛ سپس می‌تواند با ارسال یک درخواست POST به مسیرhttp://[router-ip]/goform/Natlimit و قرار دادن یک مقدار بیش‌ازحد طولانی در فیلد page، باعث سرریز بافر شود. بهره‌برداری کاملاً ساده بوده و نیازمند تکنیک پیچیده‌ای ندارد، زیرا ورودی بدون فیلتر و مستقیماً وارد عملیات sprintf می‌شود.

کد اثبات مفهومی عمومی (PoC) منتشر شده نیز دقیقاً این فرآیند را نشان می‌دهد و با ارسال رشته‌ای طولانی از طریق کتابخانه requests در پایتون، در عمل موجب کرش سرویس وب داخلی دستگاه و در شرایط مناسب، فراهم شدن زمینه اجرای کد دلخواه (RCE) می‌شود. این موضوع نشان می‌دهد سطح محافظت نرم‌افزار در برابر نفوذ بسیار پایین بوده و هیچ‌گونه سازوکار جلوگیری از سرریز یا بررسی طول ورودی در این بخش وجود ندارد.

پیامدهای این آسیب‌پذیری تاثیر بالا بر با افشای کامل اطلاعات، یکپارچگی با امکان تغییر تنظیمات روتر، دستکاری فریم‌ور یا تزریق پیکربندی‌های مخرب و دسترس‌پذیری با ایجاد اختلال کامل در روتر است. این آسیب‌پذیری تمام دستگاه‌های Tenda FH1202 با نسخه 1.2.0.14(408) را تحت تأثیر قرار می‌دهد و تاکنون پچ یا به‌روزرسانی رسمی از سوی شرکت تندا منتشر نشده است.

CVSS

Score	Severity	Version	Vector String
8.7	HIGH	4.0	CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P
8.8	HIGH	3.1	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:R
8.8	HIGH	3.0	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:R
9.0	—	2.0	AV:N/AC:L/Au:S/C:C/I:C/A:C/E:POC/RL:ND/RC:UR

لیست محصولات آسیب پذیر

Versions	Product
affected at 1.2.0.14(408)	FH1202

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Tenda FH1202را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google (Total Pages)	Search Query (Dork)	Product
53	site:.ir “Tenda” “FH1202”	Tenda FH1202

نتیجه گیری

این آسیب‌پذیری با شدت بالا در روتر Tenda FH1202 به‌دلیل وجود سرریز بافر مبتنی بر پشته در تابع ‎fromNatlimit‎، امکان اجرای کد دلخواه از راه دور (RCE) و ایجاد وضعیت انکار سرویس (DoS) را برای مهاجم فراهم می‌کند. وجود PoC عمومی، نیاز به احراز هویت حداقلی و سهولت اجرای حمله، این ضعف را به تهدیدی فعال و جدی تبدیل کرده است. با توجه به عدم انتشار پچ رسمی از سوی سازنده، اجرای اقدامات زیر برای جلوگیری از سوءاستفاده ضروری است:

مسدودسازی دسترسی رابط مدیریت از اینترنت: دسترسی به رابط مدیریتی روتر از طریق اینترنت به‌طور کامل در فایروال یا NAT مسدود شود تا مهاجم امکان ارسال درخواست‌های مخرب به مسیر ‎/goform/Natlimit‎ را نداشته باشد.
غیرفعال کردن مدیریت از راه دور (Remote Management): قابلیت مدیریت از راه دور غیرفعال شود تا فقط دستگاه‌های داخل شبکه داخلی بتوانند به بخش مدیریت روتر دسترسی پیدا کنند.
تغییر رمز عبور مدیریتی: باید رمز عبور پیش‌فرض یا ضعیف روتر با یک رمز پیچیده، قوی و منحصربه‌فرد جایگزین شود تا احتمال دسترسی اولیه مهاجم کاهش یابد.
استفاده از فایروال اپلیکیشن وب (WAF) یا سامانه‌های IDS/IPS: سامانه‌های فایروال اپلیکیشن وب (WAF) یا جلوگیری از نفوذ (IDS/IPS) برای شناسایی و مسدودسازی درخواست‌های غیرعادی، خصوصاً ورودی‌های طولانی در پارامتر ‎page‎ فعال شوند.
جایگزینی دستگاه با مدل امن‌تر: در صورت امکان، روتر باید با یک مدل جدیدتر یا برندی که پشتیبانی امنیتی فعال ارائه می‌دهد جایگزین شود، زیرا دستگاه فعلی پچ رسمی ندارد.
مانیتورینگ و بررسی لاگ‌ها: لاگ‌های شبکه و دستگاه به‌صورت مستمر نظارت شوند تا هرگونه تلاش غیرعادی، به‌ویژه ارسال درخواست‌هایی با پیلود طولانی، سریعاً شناسایی شود.

اجرای این اقدامات، به‌ویژه مسدودسازی دسترسی مدیریتی از اینترنت و غیرفعال‌سازی مدیریت از راه دور، به شکل قابل‌توجهی ریسک بهره‌برداری از این آسیب‌پذیری را کاهش داده و تا زمان انتشار پچ رسمی، سطح امنیت دستگاه را افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

مهاجم با داشتن یک حساب کاربری معتبر روی روتر (PR:L) می‌تواند از طریق ارسال درخواست POST به مسیر ‎/goform/Natlimit‎ وارد سطح کنترل‌پذیر برنامه شود. این ورودی آلوده، نقطه شروع برای تزریق رشته بیش‌ازحد طولانی در پارامتر page است و عملاً یک مسیر مستقیم برای ورود به بخش آسیب‌پذیر تابع فراهم می‌کند.

Execution (TA0002)

به‌دلیل سرریز پشته در فراخوانی بدون محدودیت sprintf، مهاجم قادر است آدرس بازگشت را بازنویسی کرده و اجرای کد دلخواه (RCE) را در پروسه وب روتر فعال کند. این اجرا در سطح پردازشگر داخلی دستگاه صورت می‌گیرد و مسیر بهره‌برداری بسیار کم‌اصطکاک دارد، زیرا تنها نیازمند ارائه ورودی طولانی کنترل‌نشده است.

Privilege Escalation (TA0004)

با کنترل جریان اجرای برنامه، مهاجم می‌تواند سطح دسترسی خود را از «کاربر احراز هویت‌شده معمولی» به «اجرای کد با سطح دسترسی سرویس وب داخلی روتر» ارتقا دهد. تسخیر Return Address اجازه عبور از محدودیت‌های نقش کاربری و رسیدن به سطح سیستم‌محور را فراهم می‌کند.

Defense Evasion (TA0005)

سرریز پشته از طریق یک ورودی کاملاً قانونی پارامتر page ارسال می‌شود و هیچ مکانیزم امنیتی مثل فیلتر طول، بررسی ورودی یا محافظت‌هایی مثل Stack Canary روی دستگاه وجود ندارد. این باعث می‌شود بهره‌برداری با نویز کم و بدون ایجاد هشدار در سیستم‌های ساده لاگینگ روتر انجام شود.

Credential Access (TA0006)

در سناریوی پس از RCE، مهاجم می‌تواند به فایل‌های پیکربندی، رمزهای ذخیره‌شده و داده‌های مدیریتی داخل فلش دستگاه دسترسی پیدا کند. اجرای کد دلخواه عملاً امکان استخراج یا دستکاری اعتبارنامه‌های مدیریتی روتر را فراهم می‌کند.

Discovery (TA0007)

پس از اجرای موفق کد، مهاجم می‌تواند اسکریپت‌هایی برای شناسایی توپولوژی شبکه داخلی، روتینگ، اینترفیس‌ها، دستگاه‌های LAN، DHCP Lease Table و دیگر اجزای محیط اجرا کند و نقشه شبکه را استخراج کند.

Lateral Movement (TA0008)

با RCE روی روتر و دسترسی به شبکه داخلی، مهاجم می‌تواند به سیستم‌های داخل LAN کلاینت‌ها، سرورها، NVRها، IoT و غیره دسترسی ثانویه بگیرد. روتر نقطه مرکزی است و تسخیر آن امکان Pivoting و عبور به دستگاه‌های بعدی را به‌صورت مستقیم باز می‌کند.

Collection (TA0009)

اجرای کد روی روتر به مهاجم اجازه می‌دهد ترافیک عبوری را جمع‌آوری کند، بسته‌ها را Sniff کند یا داده‌های حساس مثل درخواست‌های HTTP، لاگین‌ها و پیکربندی‌ها را خوانش کند. این جمع‌آوری در سکوت کامل و پیش از هر اقدام مخرب دیگر ممکن است.

Exfiltration (TA0010)

مهاجم می‌تواند داده‌های جمع‌آوری‌شده مثل لاگ‌ها، credentialها، تنظیمات PPPoE، فهرست DHCP یا خروجی اسنیفر را از طریق کانال HTTP/HTTPS معمولی یا کانال‌های دلخواه ایجاد‌شده توسط بدافزار خود از دستگاه خارج کند.

Impact (TA0040)

سرریز پشته و بازنویسی حافظه می‌تواند باعث انکار سرویس کامل (DoS) یا تغییر تنظیمات حیاتی شبکه شود. در حالت RCE، مهاجم قادر به نصب Backdoor، جایگزینی فریم‌ور، تغییر مسیر ترافیک و ایجاد اختلال کامل در دسترس‌پذیری و یکپارچگی شبکه است.

منابع

CVE-2025-7529

Tenda FH1202 Natlimit fromNatlimit stack-based overflow

CVE-2025-11001

CVE-2025-7528

همچنین ممکن است دوست داشته باشید

پیام بگذارید لغو پاسخ