CVE-2025-9251

چکیده

آسیب‌پذیری سرریز بافر مبتنی بر پشته (Stack-based Buffer Overflow) در چندین مدل روترLinksys شامل RE6250، RE6300، RE6350، RE6500، RE7000 و RE9000 شناسایی شده است. این ضعف در تابع sta_wps_pin و مسیر /goform/sta_wps_pin قرار دارد و مهاجم احراز هویت‌شده می‌تواند با دستکاری پارامتر Ssid آن را از راه دور بهره‌برداری کند. بهره‌برداری موفق می‌تواند منجر به اجرای بالقوه کد دلخواه (RCE) یا ایجاد وضعیت انکار سرویس پایدار (DoS) شود.

توضیحات

آسیب‌پذیری CVE-2025-9251در تابع sta_wps_pin و مسیر /goform/sta_wps_pin چندین مدل روتر Linksys از نوع سرریز بافر مبتنی بر پشته (Stack-based Buffer Overflow) مطابق با CWE-121 و خرابی حافظه (Memory Corruption) مطابق با CWE-119 است. در تابع ‎sta_wps_pin‎، پارامتر ‎Ssid‎ که از طریق درخواست ‎HTTP POST‎ ارسال می‌شود، بدون هیچ‌گونه بررسی طول، فیلتر یا کنترل محدوده، مستقیماً در باینری ‎mod_form.so‎ به یک متغیر لوکال روی پشته کپی می‌شود. به‌دلیل استفاده از توابع ناامن برای کپی رشته و عدم کنترل اندازه ‎(bounds checking)‎، ارسال یک رشته طولانی باعث سرریز پشته، بازنویسی آدرس بازگشت (Return Address) و در نهایت اختلال کامل سرویس می‌گردد.

طبق گزارش فنی منتشر شده، عدم بررسی طول ورودی امکان تغییر جریان اجرای برنامه و اجرای بالقوه کد دلخواه را فراهم می‌کند؛ با این حال کد اثبات مفهومی (PoC) منتشرشده وقوع کرش پایدار و عدم ارائه سرویس را به‌طور قطعی نشان می‌دهد. در PoC، ارسال یک رشته بیش از هزار کاراکتر به پارامتر ‎Ssid‎ در مسیر ‎/goform/sta_wps_pin‎ باعث کرش فوری و پایدار روتر می‌شود. این آسیب‌پذیری به‌دلیل عدم نیاز به تکنیک‌های پیچیده و امکان ارسال یک درخواست POST ساده، به‌سادگی قابل بهره‌برداری و خودکارسازی است. تاکنون شرکت Linksys پچ یا به‌روزرسانی امنیتی برای رفع این ضعف منتشر نکرده است و روترهای تحت نسخه‌های معرفی‌شده همچنان در برابر سوءاستفاده آسیب‌پذیر هستند.

CVSS

لیست محصولات آسیب پذیر

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Linksys router را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در روترهای Linksys از نوع سرریز بافر پشته است و در نتیجه کپی‌شدن بدون کنترل طول پارامتر ‎Ssid‎ در تابع ‎sta_wps_pin‎ رخ می‌دهد. مهاجمِ دارای دسترسی احراز هویت‌شده می‌تواند با ارسال یک رشته بسیار طولانی باعث سرریز پشته شده و به اجرای بالقوه کد دلخواه (RCE) یا ایجاد انکار سرویس پایدار (DoS) دست یابد. با توجه به عدم انتشار پچ رسمی و وجود PoC عمومی، اجرای فوری اقدامات زیر برای کاهش ریسک ضروری است:

• بررسی به روزرسانی و جایگزینی: به طور منظم وب‌سایت Linksys را برای دریافت فریم ور جدید بررسی کنید. در صورت عدم ارائه پچ امنیتی، از مدل‌های جدیدتر یا دستگاه‌هایی با پشتیبانی امنیتی فعال استفاده نمایید.
• مسدودسازی دسترسی مدیریتی از اینترنت: پورت‌های مدیریتی 80 و 443 را از سمت WAN غیرفعال کرده و مدیریت دستگاه را فقط از طریق شبکه داخلی یا VPN امن مجاز کنید.
• تغییر فوری اعتبارنامه‌های پیش‌فرض: رمزهای پیش‌فرض یا ضعیف را با رمزهای طولانی و پیچیده جایگزین کنید تا احتمال دسترسی غیرمجاز کاهش یابد.
• اعمال فایروال اپلیکیشن وب (WAF) یا IPS: درخواست‌های POST به مسیر /goform/sta_wps_pinرا فیلتر کنید و طول پارامتر Ssid را به مقدار ایمن محدود نمایید.
• مانیتورینگ فعال لاگ‌ها: هرگونه درخواست غیرعادی یا دارای داده طولانی به تابع ‎‎ sta_wps_pinرا به‌عنوان تلاش احتمالی برای بهره‌برداری شناسایی و مسدود کنید.
• پیاده‌سازی جداسازی شبکه (Segmentation): قرار دادن این روترها در VLANهای جدا و محدودکردن دسترسی آنها به شبکه اصلی می‌تواند دامنه حمله را کاهش دهد.

اجرای این اقدامات تا زمان انتشار پچ رسمی می‌تواند ریسک ناشی از این آسیب‌پذیری را به حداقل رسانده و امنیت دستگاه‌های Linksys را حفظ کند.

امکان استفاده در تاکتیک های Mitre Attack

Execution (TA0002)

ارسال رشته‌ی طولانی در پارامتر Ssid به مسیر ‎/goform/sta_wps_pin‎ باعث سرریز پشته در باینری mod_form.so شده و امکان اجرای کد بالقوه فراهم می‌شود. کنترل جریان برنامه از طریق بازنویسی Return Address انجام می‌گیرد.

Privilege Escalation (TA0004)

پس از نفوذ به رابط مدیریتی، بهره‌برداری موفق از سرریز پشته اجرای کد با سطح دسترسی پردازش اصلی فرم‌ها را ارائه می‌دهد؛ یعنی مهاجم از سطح کاربری احراز هویت‌شده به سطح اجرای سیستم پرش می‌کند.

Defense Evasion (TA0005)

حمله می‌تواند از طریق یک POST ساده بدون الگوی مخرب مشخص انجام شود، بنابراین توسط بسیاری از IPS/WAF های قدیمی یا تنظیم‌نشده تشخیص داده نمی‌شود.

Lateral Movement (TA0008)

اگر مهاجم به RCE برسد، قرار داشتن روتر در مسیر ترافیک شبکه امکان Pivot کردن به سمت سیستم‌های داخلی را باز می‌کند. این حرکت برای مهاجم قابل انجام است اما کاملاً وابسته به سناریوی محیط است.

Impact (TA0040)

نتیجه مستقیم این ضعف، کرش پایدار سرویس (DoS) و احتمال اجرای کد دلخواه است. اختلال در شبکه داخلی، قطع سرویس وای‌فای، و امکان نصب Backdoor از پیامدهای قابل انتظار هستند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-9251
2. https://www.cvedetails.com/cve/CVE-2025-9251/
3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-9251
4. https://vuldb.com/?submit.631524
5. https://vuldb.com/?id.320782
6. https://vuldb.com/?ctiid.320782
7. https://github.com/wudipjq/my_vuln/blob/main/Linksys/vuln_20/20.md
8. https://nvd.nist.gov/vuln/detail/CVE-2025-9251
9. https://cwe.mitre.org/data/definitions/121.html
10. https://cwe.mitre.org/data/definitions/119.html