CVE-2025-8822

چکیده

آسیب‌پذیری سرریز بافر مبتنی بر پشته (Stack-Based Buffer Overflow) در تابع algDisable روترهای Linksys زمانی رخ می‌دهد که طول پارامتر opMode در مسیر ‎/goform/setOpMode‎ بررسی نمی‌شود. مهاجم راه‌دور می‌تواند با ارسال مقدار بسیار طولانی برای این پارامتر، داده را وارد NVRAM کرده و هنگام اجرای تابع algDisable باعث سرریز پشته شود. نتیجه این ضعف می‌تواند کرش دستگاه یا در شرایط پیشرفته‌تر اجرای کد دلخواه باشد.

توضیحات

آسیب‌پذیری CVE-2025-8822 در روترهای Linksys از نوع سرریز بافر مبتنی بر پشته مطابق با CWE-121 و خرابی حافظه مطابق CWE-119 است که در یک زنجیره ی دو مرحله فعال می‌شود.

در مرحله نخست، در تابع setOpMode و مسیر /goform/setOpMode، پارامتر opMode (حالت عملیاتی دستگاه) بدون هیچ‌گونه بررسی طول مستقیماً به تابع nvram_bufset ارسال و در حافظه NVRAM ذخیره می شود. در مرحله دوم، هنگام فراخوانی تابع algDisable از طریق مسیر /goform/algDisable، مقدار ذخیره‌شده opMode از NVRAM خوانده شده و بدون کنترل طول به یک بافر لوکال روی پشته کپی می‌شود. اگر طول این رشته بیش از اندازه بافر باشد، آدرس بازگشت تابع (Return Address) بازنویسی شده و کنترل جریان اجرا به مهاجم واگذار می‌گردد.

بهره‌برداری از این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم ابتدا با یک درخواست POST به /goform/setOpMode رشته‌ای طولانی (بیش از 512–1024 کاراکتر) را به‌عنوان opMode ارسال کرده، سپس با هر فراخوانی به /goform/algDisable (حتی خالی) سرریز را فعال می‌نماید. کد اثبات مفهومی (PoC) به صورت عمومی منتشر شده و بهره‌برداری را کاملاً عملیاتی کرده است. حمله از راه دور و بدون نیاز به احراز هویت (در صورت دسترسی به LAN) امکان‌پذیر است و اگر مدیریت از راه دور فعال باشد، می‌تواند از اینترنت نیز انجام شود. پیامدهای امنیتی شامل تاثیر بالا بر محرمانگی با خواندن حافظه شامل کلیدهای رمزنگاری و تنظیمات، یکپارچگی با تغییر حالت عملیاتی، غیرفعال‌سازی NAT یا نصب بکدور و در دسترس‌پذیری با کرش مداوم httpd و راه اندازی مجدد دستگاه است. تاکنون شرکت Linksys هیچ گونه پچ یا به روزرسانی رسمی برای این آسیب پذیری منتشر نکرده است.

CVSS

لیست محصولات آسیب پذیر

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Linksys router را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در روترهای Linksys، امکان سرریز بافر مبتنی بر پشته، خرابی حافظه و در سناریوهای پیشرفته اجرای کد دلخواه را از طریق پارامتر opMode فراهم می‌کند. با توجه به عدم انتشار پچ رسمی و وجود PoC عمومی، اجرای اقدامات زیر برای کاهش ریسک و جلوگیری از بهره‌برداری ضروری است:

• بررسی به روزرسانی و جایگزینی: به‌صورت دوره‌ای وب‌سایت Linksys را برای دریافت فریم ور جدید بررسی کنید. در صورت عدم ارائه پچ امنیتی، از مدل‌های جدیدتر یا دستگاه‌هایی با پشتیبانی امنیتی فعال استفاده نمایید.
• غیرفعال‌سازی مدیریت از راه دور: مدیریت از راه دور را غیرفعال کرده و دسترسی به مسیرهای ‎/goform/‎ را فقط محدود به IPهای مجاز داخل LAN کنید.
• مسدودسازی دسترسی اینترنت: پورت‌های ‎80‎ و ‎443‎ را از سمت اینترنت در فایروال روتر اصلی مسدود کنید تا دسترسی خارجی به رابط وب غیرممکن شود.
• ایزوله‌سازی در VLAN جداگانه: روتر را در یک VLAN مجزا قرار دهید و دسترسی آن به بخش‌های حساس شبکه داخلی را قطع کنید.
• استفاده از فایروال اپلیکیشن وب یا پروکسی معکوس: یک فایروال اپلیکیشن وب (WAF) یا پروکسی معکوس (مانند Nginx) راه‌اندازی کنید و درخواست‌های POST به ‎/goform/setOpMode‎ با مقدار opMode طولانی و غیرعادی را فیلتر کنید.
• مانیتورینگ و هشداردهی لاگ‌ها: لاگ‌های دستگاه را مانیتور کنید و برای درخواست شامل opMode با طول طولانی‌ هشدار تنظیم کنید.

تا زمان انتشار پچ رسمی، مطمئن‌ترین شیوه کاهش ریسک، ایزوله‌سازی کامل دستگاه و محدود کردن دسترسی به رابط وب مدیریتی است. اجرای این اقدامات به کاهش ریسک این آسیب پذیری کمک قابل توجهی خواهند کرد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجم با ارسال درخواست‌های POST به مسیرهای ‎/goform/setOpMode‎ و ‎/goform/algDisable‎ و بدون نیاز به احراز هویت، ورودی طولانی را داخل NVRAM تزریق می‌کند. این ورودیِ دست‌کاری‌شده در مرحله دوم باعث فعال‌شدن سرریز پشته می‌شود؛ بنابراین این نقطه، ورودی مستقیم و قابل اتوماسیون برای آغاز حمله است.

Execution (TA0002)
در فاز اجرای اکسپلویت، مقدار opMode ذخیره‌شده مستقیماً روی یک بافر روی پشته کپی می‌شود و بازنویسی آدرس بازگشت، اجرای کد دلخواه مهاجم را ممکن می‌کند. این مسیر کاملاً RCE-capable است.

Privilege Escalation (TA0004)
با توجه به اینکه مهاجم کنترل جریان اجرای برنامه را به‌دست می‌گیرد، سطح دسترسی مؤثر به سطح پردازشگر دستگاه می‌رسد؛ این یعنی مهاجم می‌تواند سرویس‌های سیستمی را با سطح امتیاز کامل اجرا کند.

Defense Evasion (TA0005)
مهاجم می‌تواند با اجرای کد دلخواه، لاگ‌های httpd را پاک یا دست‌کاری کرده و مکانیزم‌های پایش را دور بزند.

Credential Access (TA0006)
خواندن حافظه یا پروسس‌ها می‌تواند به استخراج کلیدهای رمزنگاری، پسوردهای ذخیره‌شده LAN یا configهای مدیریتی منجر شود.

Discovery (TA0007)
پس از اجرای کد، مهاجم قادر است ساختار شبکه داخلی، سرویس‌ها و دستگاه‌های مجاور را شناسایی کند.

Lateral Movement (TA0008)
با داشتن RCE روی روتر، مهاجم می‌تواند از آن به‌عنوان pivot برای ورود به بخش‌های دیگر شبکه استفاده کند.

Collection (TA0009)
با دسترسی به حافظه و تنظیمات دستگاه، مهاجم می‌تواند ترافیک کاربران، یا داده‌های حساس پیکربندی را جمع‌آوری کند.

Exfiltration (TA0010)
مهاجم می‌تواند داده‌های جمع‌آوری‌شده را از طریق کانال‌های خروجی موجود به بیرون منتقل کند.

Impact (TA0040)
تأثیر نهایی شامل اجرای کد دلخواه، نصب بکدور، خاموش‌کردن قابلیت‌های حیاتی شبکه، خرابکاری عملیاتی، و کرش مداوم سرویس httpd است. این ضعف سطح خطر High-Impact دارد و بدون پچ رسمی، تنها با محدودسازی سختگیرانه سطح حمله قابل کنترل است.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-8822
2. https://www.cvedetails.com/cve/CVE-2025-8822/
3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-8822
4. https://vuldb.com/?submit.626686
5. https://vuldb.com/?id.319356
6. https://vuldb.com/?ctiid.319356
7. https://github.com/wudipjq/my_vuln/blob/main/Linksys1/vuln_56/56.md
8. https://github.com/wudipjq/my_vuln/blob/main/Linksys1/vuln_56/56.md#poc
9. https://nvd.nist.gov/vuln/detail/CVE-2025-8822
10. https://cwe.mitre.org/data/definitions/121.html
11. https://cwe.mitre.org/data/definitions/119.html