CVE-2025-9355

چکیده

آسیب‌پذیری سرریز بافر مبتنی بر پشته (Stack-based Buffer Overflow) در چندین مدل روتر Linksys شامل RE6250، RE6300، RE6350، RE6500، RE7000 و RE9000 شناسایی شده است. این ضعف در تابع scheduleAdd مسیر //goform/scheduleAdd. به دلیل عدم اعتبارسنجی طول ورودی رخ می‌دهد. مهاجم با ارسال پارامتر ruleName بسیار طولانی در یک درخواست HTTP POST، می‌تواند از راه دور باعث کرش دستگاه، انکار سرویس مداوم (DoS) و حتی اجرای کد دلخواه (RCE) شود.

توضیحات

آسیب‌پذیری CVE-2025-9355 در چندین مدل روتر Linksys، ناشی از سرریز بافر مبتنی بر پشته (Stack-based Buffer Overflow) مطابق با CWE-121 و خرابی حافظه (Memory Corruption) مطابق با CWE-119 است که در تابع scheduleAdd داخل باینری mod_form.so رخ می‌دهد. این تابع مسئول افزودن برنامه زمان‌بندی (Schedule) برای مسدودسازی اینترنت در ساعات مشخص است. پارامتر ruleName مستقیماً از درخواست کاربر دریافت شده و بدون هیچ‌گونه بررسی طول یا فیلتر، با توابعی مانند strcpy به یک بافر لوکال روی پشته کپی می‌شود. وقتی طول این ورودی از ظرفیت بافر لوکال بیشتر شود، آدرس بازگشت تابع بازنویسی شده و مهاجم کنترل جریان برنامه به دست می آورد.

این حمله کاملاً از راه دور و بدون نیاز به تعامل کاربر قابل انجام بوده و تنها داشتن یک حساب کاربری با دسترسی پایین کافی است. پیامدهای آن شامل تأثیر بالا بر محرمانگی با افشای حافظه و اطلاعات حساس، یکپارچگی با تزریق و اجرای کد مخرب و در دسترس‌پذیری با امکان کرش کامل دستگاه و نیاز به راه اندازی مجدد دستی است.

بهره‌برداری از این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با اسکریپت‌های ساده یا ابزارهایی مانند curl و Burp Suite، به‌صورت از راه دور و بدون تعامل کاربر، درخواست POST به مسیر //goform/scheduleAdd. ارسال کند و پارامتر ruleName را با رشته‌ی تکراری a با طول طولانی پر نماید. این سرریز باعث بازنویسی آدرس بازگشت روی پشته شده و روتر بلافاصله کرش می‌کند؛ پس از آن، تا زمان راه‌اندازی فیزیکی مجدد، سرویس Wi-Fi و پنل مدیریتی کاملاً از دسترس خارج می‌شوند. در صورت کنترل دقیق داده‌ی سرریز، امکان اجرای کد دلخواه (RCE) نیز وجود دارد. کد اثبات مفهومی (PoC) عمومی منتشر شده است که با ارسال ruleName شامل بیش از 1000 کاراکتر a، کرش پایدار دستگاه را نشان می‌دهد. تاکنون شرکت Linksys پچ یا به‌روزرسانی امنیتی برای رفع این ضعف منتشر نکرده است و روترهای ذکر شده همچنان در برابر سوءاستفاده آسیب‌پذیر هستند.

CVSS

لیست محصولات آسیب پذیر

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Linksys router را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در روترهای Linksys ، امکان سرریز بافر پشته، کرش مداوم و اجرای کد دلخواه از راه دور را فراهم می‌کند. با توجه به عدم انتشار پچ رسمی و وجود PoC عمومی، اجرای فوری اقدامات زیر برای کاهش ریسک ضروری است:

• بررسی به روزرسانی و جایگزینی: به طور منظم وب‌سایت Linksys را برای دریافت فریم ور جدید بررسی کنید. در صورت عدم ارائه پچ امنیتی، از مدل‌های جدیدتر یا دستگاه‌هایی با پشتیبانی امنیتی فعال استفاده نمایید.
• غیرفعال کردن دسترسی از راه دور: فوراً قابلیت دسترسی از راه دور و دسترسی به پنل وب از طریق اینترنت (WAN) را غیرفعال کنید؛ فقط از طریق LAN به دستگاه دسترسی داشته باشید.
• تغییر رمز پیش‌فرض: رمزهای پیش‌فرض یا ضعیف را با رمزهای طولانی و پیچیده جایگزین کنید تا احتمال دسترسی غیرمجاز کاهش یابد.
• غیرفعال‌سازی ویژگی Schedule: تا زمان رفع کامل آسیب‌پذیری، قابلیت زمان‌بندی مسدودسازی اینترنت (Wireless Schedule) را در تنظیمات دستگاه غیرفعال کنید تا اندپوینت /goform/scheduleAdd در معرض درخواست قرار نگیرد.
• ایزوله‌سازی دستگاه: روتر را پشت فایروال سخت‌افزاری یا روتر اصلی با NAT قرار دهید و دسترسی مستقیم از اینترنت به پورت‌های 80 و 443 دستگاه را مسدود کنید. در صورت امکان از VLAN جداگانه استفاده نمایید.
• استفاده از WAF یا IPS: در صورت قرارگیری در شبکه سازمانی، از فایروال اپلیکیشن وب (WAF) یا سیستم جلوگیری از نفوذ (IPS) برای فیلتر درخواست‌های POST طولانی به مسیرهای /goform/ بهره ببرید.
• نظارت و هشدار: لاگ‌های دستگاه را به سرور Syslog خارجی ارسال کنید و هشدار برای درخواست‌های POST با طول طولانی تنظیم نمایید. هرگونه تلاش مشکوک را بلافاصله مسدود کنید.

اجرای این اقدامات به‌ویژه غیرفعال‌سازی Schedule و قطع دسترسی WAN، ریسک بهره‌برداری موفق از این آسیب پذیری را تقریباً غیرممکن می‌سازد و تا زمان ارائه پچ رسمی، بهترین سطح حفاظت را برای شبکه فراهم می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

ورود اولیه از طریق حساب‌های با سطح دسترسی پایین انجام می‌شود؛ exploit به PR:L نیاز دارد اما همان سطح محدود کفایت می‌کند تا درخواست POST به مسیر ‎/goform/scheduleAdd‎ ارسال شود. این نقطه ورود پایه‌ی شروع حمله است و منطق exploit را فعال می‌کند.

Execution (TA0002)

سرریز بافر روی پشته جریان اجرا را منحرف کرده و اجازه اجرای کد دلخواه (RCE) می‌دهد. ورودی طولانی ruleName باعث تخریب فریم پشته و کنترل PC/RA می‌شود.

Privilege Escalation (TA0004)

به‌محض دستیابی به RCE، مهاجم از سطح کاربری محدود به سطح روت سیستم‌عامل دستگاه می‌رسد. این ارتقا ناشی از ساختار آسیب‌پذیری است و نیازمند هیچ زنجیره ثانویه‌ای نیست.

Defense Evasion (TA0005)

اجرای کد روی فریم‌ور اجازه می‌دهد لاگ داخلی حذف یا سرویس‌های نظارتی غیرفعال شوند. مهاجم می‌تواند مسیرهای لاگینگ، فایل‌های Syslog یا ماژول‌های ثبت رخداد را دستکاری کند تا حضورش مینیمال و نامرئی شود.

Credential Access (TA0006)

به دلیل دسترسی به سطح سیستم، فایل‌های تنظیمات شامل رمزهای ذخیره‌شده Web UI، Wi-Fi، PPPoE قابل استخراج هستند. این دسترسی یک نقطه pivot اصلی برای نفوذ شبکه‌ای است.

Discovery (TA0007)

پس از RCE، مهاجم می‌تواند ساختار شبکه LAN، لیست کلاینت‌ها، DHCP leaseها، مسیرها و سرویس‌های فعال را شناسایی کند. این مرحله برای حرکت جانبی و تثبیت حمله حیاتی است.

Lateral Movement (TA0008)

با کنترل روتر، مهاجم می‌تواند ترافیک DNS را دستکاری کند، NAT/Firewall ruleها را تغییر دهد و مسیر ارتباطات را برای pivot به کلاینت‌های داخلی هدایت کند. این حرکت جانبی یک سناریوی پرخطر در محیط‌های سازمانی ایجاد می‌کند.

Collection (TA0009)

اجرای کد محلی اجازه می‌دهد ترافیک عبوری، تنظیمات، فایل‌های وضعیت و داده‌های لاگ استخراج شوند. این داده‌ها می‌توانند برای حملات فیشینگ داخلی یا نقشه‌برداری شبکه‌ای استفاده شوند.

Exfiltration (TA0010)

با RCE، مهاجم می‌تواند اطلاعات را از طریق HTTP، HTTPS یا تونل‌های self-made خارج کند. تغییر DNS یا ارسال داده‌ها از طریق کانال‌های رمزگذاری‌نشده محتمل است.

Impact (TA0040)

تخریب پشته باعث DoS پایدار، ریبوت اجباری سخت‌افزاری، قطع کامل Wi-Fi و پنل مدیریتی می‌شود. کنترل اجرای کد می‌تواند integrity و availability را به‌طور کامل نابود کند. دستگاه بدون مداخله‌ی انسان بازیابی نمی‌شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-9355
2. https://www.cvedetails.com/cve/CVE-2025-9355/
3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-9355
4. https://vuldb.com/?submit.631527
5. https://vuldb.com/?id.321058
6. https://vuldb.com/?ctiid.321058
7. https://github.com/wudipjq/my_vuln/blob/main/Linksys/vuln_23/23.md
8. https://github.com/wudipjq/my_vuln/blob/main/Linksys/vuln_23/23.md#poc
9. https://nvd.nist.gov/vuln/detail/CVE-2025-9355
10. https://cwe.mitre.org/data/definitions/121.html
11. https://cwe.mitre.org/data/definitions/119.html