CVE-2025-9359

چکیده

آسیب‌پذیری سرریز بافر مبتنی بر پشته (Stack-based Buffer Overflow) در چندین مدل روتر Linksys  شامل RE6250، RE6300، RE6350، RE6500، RE7000 و RE9000 شناسایی شده است. این ضعف امنیتی به دلیل عدم اعتبارسنجی ورودی‌های ssidhex و pwd در تابع RP_checkCredentialsByBBS مسیر /goform/RP_checkCredentialsByBBS رخ می‌دهد. مهاجم با ارسال رشته‌های طولانی در درخواست HTTP POST، می‌تواند از راه دور باعث کرش دستگاه، انکار سرویس مداوم (DoS) و حتی اجرای کد دلخواه (RCE) شود.

توضیحات

آسیب‌پذیری CVE-2025-9359 در چندین مدل روتر Linksys، ناشی از سرریز بافر مبتنی بر پشته (Stack-based Buffer Overflow) مطابق با CWE-121 و خرابی حافظه (Memory Corruption) مطابق با CWE-119 است که در تابع RP_checkCredentialsByBBS داخل باینری mod_form.so رخ می‌دهد. این تابع مسئول بررسی اعتبارنامه‌های شبکه WiFi برای اتصال به شبکه‌های خارجی است. پارامترهای ssidhex و pwd  مستقیماً از درخواست کاربر دریافت و بدون بررسی طول یا فیلتر، با توابعی مانند strcpy به بافرهای لوکال روی پشته کپی می‌شوند. وقتی طول این ورودی‌ها از ظرفیت بافر بیشتر شود، آدرس بازگشت تابع و متغیرهای مجاور بازنویسی شده و کنترل جریان برنامه مختل می‌گردد.

این حمله کاملاً از راه دور و بدون نیاز به تعامل کاربر قابل انجام بوده و تنها داشتن یک حساب کاربری با دسترسی پایین کافی است. پیامدهای آن شامل تأثیر بالا بر محرمانگی با امکان افشای اطلاعات شبکه مانند SSIDهای ذخیره‌شده یا رمزهای عبور، یکپارچگی با تزریق کد مخرب برای تغییر تنظیمات WiFi و در دسترس‌پذیری با ایجادکرش کامل دستگاه و قطع سرویس WiFi تا راه اندازی مجدد دستی است. بهره‌برداری از این ضعف  قابل خودکارسازی است؛ مهاجم می‌تواند با اسکریپت‌های ساده یا ابزارهایی مانند curl و Burp Suite، به‌صورت از راه دور و بدون تعامل کاربر، درخواست POST به مسیر /goform/RP_checkCredentialsByBBS ارسال کند و پارامتر ssidhex را با رشته‌ی تکراری a با طول طولانی پر نماید (در حالی که pwd خالی می‌ماند). این عمل باعث بازنویسی آدرس بازگشت روی پشته می‌شود، دستگاه بلافاصله کرش می‌کند و تا زمانی که به‌صورت فیزیکی راه اندازی مجدد نشود، قابلیت اتصال به شبکه‌های WiFi و پنل مدیریت از دسترس خارج می‌ماند. در سناریوهای پیشرفته، با کنترل دقیق مقدار سرریز، امکان اجرای کد دلخواه (RCE) مانند اجرای دستورات shell نیز فراهم می‌شود.

کد اثبات مفهومی (PoC) عمومی منتشر شده است که با ارسال ssidhex شامل بیش از 1500 کاراکتر a، کرش پایدار دستگاه را نشان می‌دهد. تاکنون شرکت Linksys پچ یا به‌روزرسانی امنیتی برای رفع این ضعف منتشر نکرده است و روترهای ذکر شده همچنان در برابر سوءاستفاده آسیب‌پذیر هستند.

CVSS

لیست محصولات آسیب پذیر

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Linksys router را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در روترهای Linksys، امکان سرریز بافر پشته در فرآیند بررسی اعتبارنامه‌های WiFi را فراهم می‌کند و می تواند منجر به کرش مداوم و اجرای کد دلخواه از راه دور شود. با توجه به عدم انتشار پچ رسمی و وجود PoC عمومی، اجرای فوری اقدامات زیر برای کاهش ریسک ضروری است:

• بررسی به روزرسانی و جایگزینی: به طور منظم وب‌سایت Linksys را برای دریافت فریم ور جدید بررسی کنید. در صورت عدم ارائه پچ امنیتی، از مدل‌های جدیدتر یا دستگاه‌هایی با پشتیبانی امنیتی فعال استفاده نمایید.
• غیرفعال کردن دسترسی از راه دور: فوراً قابلیت دسترسی از راه دور و دسترسی به پنل وب از طریق اینترنت (WAN) را غیرفعال کنید. فقط از طریق LAN به دستگاه دسترسی داشته باشید و پورت‌های 80 و 443 را در فایروال روتر اصلی مسدود نمایید.
• تغییر رمز پیش‌فرض: رمزهای پیش‌فرض یا ضعیف را با رمزهای طولانی و پیچیده جایگزین کنید تا احتمال دسترسی غیرمجاز کاهش یابد.
• غیرفعال‌سازی ویژگی‌های مرتبط: تا زمان رفع آسیب‌پذیری، قابلیت‌های مربوط به بررسی اعتبارنامه‌های BBS یا اتصال خودکار به شبکه‌های خارجی را غیرفعال کنید تا اندپوینت /goform/RP_checkCredentialsByBBS در معرض درخواست‌های غیرمجاز قرار نگیرد.
• ایزوله‌سازی شبکه: روتر را پشت یک فایروال سخت‌افزاری یا روتر اصلی با NAT قرار دهید. در صورت امکان از VLAN مجزا برای ایزوله‌سازی ترافیک استفاده کنید و دسترسی مستقیم از اینترنت را کاملاً مسدود نمایید. برای مدیریت از راه دور، تنها از VPN امن استفاده کنید.
• استفاده از WAF یا IPS: در شبکه‌های سازمانی، از فایروال اپلیکیشن وب (WAF) یا سیستم جلوگیری از نفوذ (IPS) برای فیلتر درخواست‌های POST طولانی به مسیرهای /goform/ بهره ببرید و طول ورودی‌های ssidhex و pwd را به مقدار امن محدود کنید.
• نظارت و هشدار: لاگ‌های دستگاه را به سرور Syslog خارجی ارسال کنید و هشدار برای درخواست‌های POST با طول طولانی یا الگوهای مشکوک (مانند رشته‌های تکراری) تنظیم نمایید. هرگونه تلاش برای دستکاری ssidhex/pwd را بلافاصله مسدود کنید.

اجرای این اقدامات به‌ویژه غیرفعال‌سازی قابلیت های BBS و نظارت دقیق بر درخواست‌ها، ریسک بهره‌برداری موفق از آسیب پذیری را به حداقل رسانده و تا زمان ارائه پچ رسمی، حفاظت جامعی برای شبکه‌های WiFi شما فراهم می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

مهاجم از طریق ارسال درخواست‌های POST به مسیر ‎/goform/RP_checkCredentialsByBBS‎ و با سوءاستفاده از ورودی‌های ssidhex/pwd که بدون اعتبارسنجی روی پشته کپی می‌شوند، از راه دور به سرویس وب آسیب‌پذیر دسترسی اولیه می‌گیرد. این مسیر مستقیماً در سطح شبکه در دسترس است و با وجود نیاز به دسترسی PR:L، در عمل در بسیاری از دستگاه‌ها با رمزهای پیش‌فرض یا حساب‌های سطح پایین قابل سوءاستفاده است.

Execution (TA0002)

با کنترل سرریز بافر و بازنویسی آدرس بازگشت، مهاجم می‌تواند اجرای کد دلخواه را روی دستگاه اعمال کند. این اجرای کد شامل تزریق شل‌کد، اجرای دستورات سیستم‌عامل و تغییر جریان کنترل برنامه در mod_form.so است و امکان RCE  پایدار فراهم می‌شود.

Privilege Escalation (TA0004)

سرریز پشته منجر به تخریب ساختارهای داخلی و هدایت اجرای کد بدون رعایت سطح دسترسی تعریف‌شده می‌شود؛ بنابراین مهاجم می‌تواند از سطح دسترسی کاربر عادی به اجرای کد با سطح پردازشی فرآیند اصلی ارتقا پیدا کند.

Credential Access (TA0006)

در صورت RCE موفق، مهاجم قادر به استخراج SSIDها، رمزهای شبکه‌های ذخیره‌شده، فایل‌های پیکربندی و داده‌های حساس داخلی دستگاه خواهد بود؛ این داده‌ها در فایل‌سیستم به‌صورت قابل خواندن ذخیره شده‌اند و بدون sandboxing  محافظت می‌شوند.

Discovery (TA0007)

پس از اجرای کد، مهاجم می‌تواند اطلاعات شبکه، ساختارهای پیکربندی، SSIDهای ذخیره‌شده و مسیرهای داخلی سیستم را شناسایی کند. دستگاه‌های Linksys معمولاً ابزارهای پایه‌ای مانند busybox را در اختیار دارند که کشف شبکه را ساده می‌کند.

Lateral Movement (TA0008)

با در اختیار گرفتن روتر/اکستندر، مهاجم می‌تواند ترافیک LAN/WLAN را مشاهده، دستکاری یا از آن برای pivoting  به سمت دستگاه‌های متصل استفاده کند. کنترل نقطه توزیع WiFi ذاتاً یک pivot قوی برای حرکت جانبی است.

Defense Evasion (TA0005)

اجرای کد از طریق BOF می‌تواند بدون تولید لاگ مشخص انجام شود؛ همچنین مهاجم می‌تواند فرآیندهای داخلی را patch  یا سرویس‌های لاگ را غیرفعال کند.

Collection (TA0009)

با دسترسی RCE امکان جمع‌آوری فایل‌های پیکربندی، کلیدهای ذخیره‌شده WiFi، لیست کلاینت‌های متصل، و ترافیک شبکه (sniffing) فراهم می‌شود. داده‌ها روی فایل‌سیستم داخلی بدون رمزگذاری ذخیره شده‌اند.

Exfiltration (TA0010)

مهاجم می‌تواند داده‌های به‌دست‌آمده مانند رمزهای WiFi، فایل‌های پیکربندی و خروجی shell را از طریق HTTP POST  معکوس، درخواست‌های outbound یا تونل‌سازی به سرور کنترل‌کننده خارج کند.

Impact (TA0040)

نتیجه شامل DoS پایدار، قطع سرویس WiFi، از بین رفتن تنظیمات، یا اجرای کد مخرب برای تغییر ساختار شبکه است. بهره‌برداری می‌تواند باعث خاموشی کامل دستگاه تا زمان ریبوت دستی شود و در سناریوهای پیشرفته امکان implant  کردن backdoor هم وجود دارد.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-9359
2. https://www.cvedetails.com/cve/CVE-2025-9359/
3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-9359
4. https://vuldb.com/?submit.631531
5. https://vuldb.com/?id.321062
6. https://vuldb.com/?ctiid.321062
7. https://github.com/wudipjq/my_vuln/blob/main/Linksys/vuln_27/27.md
8. https://github.com/wudipjq/my_vuln/blob/main/Linksys/vuln_27/27.md#poc
9. https://nvd.nist.gov/vuln/detail/CVE-2025-9359
10. https://cwe.mitre.org/data/definitions/121.html
11. https://cwe.mitre.org/data/definitions/119.html