CVE-2025-9483

چکیده

آسیب‌پذیری سرریز بافر مبتنی بر پشته (Stack-Based Buffer Overflow) در روترهای Linksys مدل‌های RE6250، RE6300، RE6350، RE6500، RE7000 و RE9000 شناسایی شده است. این آسیب پذیری در تابع singlePortForwardAdd در مسیر  /goform/singlePortForwardAddبه دلیل پردازش نادرست پارامترهای ruleName، schedule و inboundFilter ایجاد شده و به مهاجمان احراز هویت‌شده امکان اجرای کد از راه دور و مختل کردن عملکرد دستگاه را می دهد.

توضیحات

آسیب‌پذیری CVE-2025-9483 از نوع سرریز بافر مبتنی بر پشته (مطابق با CWE-121) و خرابی حافظه (مطابق با CWE-119) است که در چندین مدل از روتر های Linksys رخ می‌دهد. در این آسیب پذیری، تابع singlePortForwardAdd در مسیر  /goform/singlePortForwardAddپارامترهای ruleName، schedule و inboundFilter را بدون بررسی طول آن‌ها کپی می‌کند که امکان سرریز بافر و بازنویسی آدرس بازگشت را فراهم می‌کند. این ضعف به مهاجمان احراز هویت‌شده با دسترسی سطح پایین اجازه می‌دهد از راه دور کد مخرب اجرا کرده یا عملکرد دستگاه را مختل کنند.

این حمله بدون نیاز به تعامل کاربر انجام می شود و پیچیدگی پایینی دارد. پیامدهای آن شامل تأثیر بالا بر محرمانگی، یکپارچگی و در دسترس پذیری است. کد اثبات مفهومی (PoC) نشان می‌دهد که با ارسال یک درخواست POST حاوی رشته طولانی برای ruleName (کاراکتر ‘a’)، می‌توان عملکرد روتر را مختل کرد یا به‌طور بالقوه کد دلخواه اجرا نمود. این موضوع ریسک بهره‌برداری را به‌ویژه برای دستگاه‌هایی که متصل به اینترنت هستند، افزایش می دهد. تاکنون شرکت Linksys به این گزارش پاسخ نداده و هیچ پچ رسمی برای رفع آسیب پذیری منتشر نکرده است

CVSS

 لیست محصولات آسیب پذیر

 نتیجه گیری

با توجه به شدت بالای آسیب‌پذیری و قابلیت بالقوه برای اجرای کد از راه دور (RCE) در تابع singlePortForwardAdd  و همچنین عدم انتشار وصله امنیتی رسمی از سوی Linksys، توصیه می‌شود مدیران شبکه فوراً اقدامات کاهش ریسک را در سطح پیکربندی، شبکه و پایش امنیتی اعمال نمایند. نخست، دسترسی به رابط مدیریتی وب روتر باید از اینترنت عمومی جدا شده و صرفاً از طریق شبکه داخلی یا تونل‌های VPN ایمن قابل دسترس باشد. علاوه بر این، استفاده از گذرواژه‌های پیش‌فرض باید ممنوع و با رمزهای عبور پیچیده و منحصربه‌فرد جایگزین شود تا از سوءاستفاده مهاجمان با دسترسی اولیه جلوگیری گردد. در لایه پایش، ترافیک شبکه باید به‌طور مداوم مانیتور شده و درخواست‌های مشکوک به مسیر /goform/singlePortForwardAdd  به‌ویژه شامل پارامترهای ruleName، schedule  و inboundFilter  تحلیل و مسدود شوند. در همین راستا، استفاده از Web Application Firewall (WAF)  یا IPS  مبتنی بر امضا برای مسدودسازی الگوهای شناخته‌شده حملات (مانند رشته‌های بسیار طولانی یا کاراکترهای غیرمجاز در این پارامترها) ضروری است. همچنین پیشنهاد می‌شود در سطح شبکه، روترهای آسیب‌پذیر در یک segmented VLAN  یا ناحیه‌ی DMZ ایزوله شده و دسترسی مدیریتی صرفاً از ایستگاه‌های امن مجاز باشد. در صورت امکان، جایگزینی سخت‌افزار با مدل‌های ایمن‌تر از برندهای معتبر و نگهداری نسخه‌های پشتیبان رمزنگاری‌شده از پیکربندی دستگاه‌ها برای بازیابی سریع در سناریوی حمله توصیه می‌گردد. اجرای ترکیبی این اقدامات به‌طور قابل توجهی ریسک بهره‌برداری مهاجمان از این سرریز بافر را کاهش داده و سطح امنیت شبکه سازمانی را ارتقا خواهد داد.

احتمال استفاده در تاکتیک های Mitre Attack

• Initial Access (TA0001)

T1078 – Valid Accounts
مهاجم می‌تواند با استفاده از حساب‌های کاربری معتبر اما کم‌سطح (Low-Privileged Accounts) وارد سیستم شود و از ضعف کنترل طول پارامترها در مسیر /goform/singlePortForwardAdd  سوءاستفاده کند.

• Execution (TA0002)

T1203 – Exploitation for Client Execution
به‌واسطه بهره‌برداری از سرریز بافر در پارامترهای ruleName، schedule  و inboundFilter  مهاجم قادر به اجرای کد مخرب از راه دور بر روی دستگاه خواهد بود.

• Privilege Escalation (TA0004)

T1068 – Exploitation for Privilege Escalation
اجرای موفق کد دلخواه می‌تواند منجر به ارتقای سطح دسترسی مهاجم از کاربر عادی به سطح سیستمی در روتر شود.

• Persistence (TA0003)

T1547 – Boot or Logon Autostart Execution
مهاجم می‌تواند با تغییر در تنظیمات روتر یا درج کد مخرب در فایل‌های سیستمی، دسترسی مداوم ایجاد کند.

• Defense Evasion (TA0005)

T1070 – Indicator Removal on Host
امکان پاک‌سازی لاگ‌ها یا تغییر در تنظیمات دستگاه برای مخفی‌سازی ردپای حمله وجود دارد.

• Credential Access (TA0006)

T1552 – Unsecured Credentials
در صورت نفوذ موفق، مهاجم می‌تواند به اطلاعات ذخیره‌شده در پیکربندی روتر از جمله پسوردهای سرویس‌های مرتبط دسترسی پیدا کند.

• Impact (TA0040)

T1499 – Endpoint Denial of Service
با ارسال ورودی مخرب (مثلاً رشته‌های طولانی در ruleName  مهاجم قادر است باعث اختلال در عملکرد روتر یا کرش کامل دستگاه شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-9483
2. https://www.cvedetails.com/cve/CVE-2025-9483/
3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-9483
4. https://vuldb.com/?submit.634823
5. https://vuldb.com/?id.321398
6. https://vuldb.com/?ctiid.321398
7. https://github.com/wudipjq/my_vuln/blob/main/Linksys/vuln_37/37.md
8. https://github.com/wudipjq/my_vuln/blob/main/Linksys/vuln_37/37.md#poc
9. https://nvd.nist.gov/vuln/detail/CVE-2025-9483
10. https://cwe.mitre.org/data/definitions/121.html
11. https://cwe.mitre.org/data/definitions/119.html