خانه » CVE-2025-9752
هشدار‌های سایبری

CVE-2025-9752

D-Link DIR-852 SOAP Service Soap.Cgi Soapcgi_main Os Command Injection

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 8 بازدید
هشدار سایبری CVE-2025-9752
  • شناسه CVE-2025-9752 :CVE
  • CWE-78, CWE-77 :CWE
  • yes :Advisory
  • منتشر شده: سپتامبر 1, 2025
  • به روز شده: سپتامبر 1, 2025
  • امتیاز: 7.3
  • نوع حمله:  OS Command Injection
  • اثر گذاری: Unknown
  • حوزه: تجهیزات شبکه و امنیت
  • برند: D-link
  • محصول: DIR-852
  • وضعیتPublished :CVE
  • Yes :POC
  • وضعیت آسیب پذیری: patch نشده

چکیده

آسیب‌پذیری در روتر D-Link DIR-852 با نسخه فریمور 1.00CN B09 شناسایی شده است. این ضعف در کامپوننت سرویس SOAP و تابع soapcgi_main فایل soap.cgi وجود دارد و امکان تزریق دستورات سیستم‌عامل را فراهم می‌کند. در نتیجه، مهاجمان می‌توانند بدون نیاز به احراز هویت و از راه دور، دستورات دلخواه خود را روی دستگاه اجرا کنند.

توضیحات

آسیب‌پذیری CVE-2025-9752 در روتر D-Link DIR-852 با نسخه فریمور 1.00CN B09 ناشی از ضعف در کامپوننت سرویس SOAP و تابع soapcgi_main در فایل soap.cgi است که امکان تزریق دستورات سیستم‌عامل (مطابق با CWE-78 و CWE-77) را فراهم می‌کند. این آسیب پذیری زمانی رخ می‌دهد که پارامتر service در درخواست‌های ارسالی به soap.cgi بدون اعتبارسنجی یا فیلتر مناسب پردازش می‌شود. در این فرآیند، محتوای ارسالی توسط کاربر مستقیماً در یک رشته دستور در آدرس حافظه مشخص (byte_437CE0) ادغام شده و به تابع سیستم برای اجرا ارسال می‌گردد.

این ضعف به مهاجمان بدون نیاز به احراز هویت اجازه می‌دهد تا با ارسال یک درخواست POST مخرب حاوی کاراکترهای خاص (مانند |)، دستورات دلخواه را روی سیستم‌عامل روتر اجرا کنند که این موضوع می‌تواند منجر به نقض محرمانگی، یکپارچگی و دسترس‌پذیری دستگاه شود. این آسیب‌پذیری از راه دور و بدون نیاز به تعامل کاربر قابل بهره‌برداری است و به دلیل عدم نیاز به احراز هویت، ریسک آن بالا ارزیابی می شود.

یک کد اثبات مفهومی (PoC) برای این آسیب‌پذیری ارائه شده است که با ارسال درخواست POST به آدرس IP روتر (مانند 192.168.0.1:49152) و تزریق پیلود مانند |telnetd -p 9999|، یک سرویس telnet را روی پورت 9999 فعال می‌کند. این PoC نشان می‌دهد که مهاجم می‌تواند به‌راحتی دسترسی کامل به دستگاه را به دست آورد، امکان اجرای دستورات سیستمی مانند دسترسی به شل یا تغییرات در تنظیمات روتر را فراهم کند. اکسپلویت‌های عمومی نیز در دسترس هستند و با توجه به عمومی شدن جزئیات این آسیب‌پذیری، ریسک سوءاستفاده در دستگاه‌های آسیب‌پذیر افزایش یافته است.

این آسیب‌پذیری تنها نسخه 1.00CN B09 روتر DIR-852 را تحت تأثیر قرار می‌دهد. با توجه به اینکه این محصول در وضعیت پایان دوره پشتیبانی (EOL) قرار دارد، D-Link هیچ پچ رسمی برای آن منتشر نخواهد کرد.

CVSS

Score Severity Version Vector String
6.9 MEDIUM 4.0 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P
7.3 HIGH 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R
7.3 HIGH 3.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R
7.5 2.0 AV:N/AC:L/Au:N/C:P/I:P/A:P/E:POC/RL:ND/RC:UR

 لیست محصولات آسیب پذیر

Versions Product
affected at 1.00CN B09 DIR-852

 نتیجه گیری

با توجه به اینکه این محصول در وضعیت پایان دوره پشتیبانی (EOL) قرار دارد و D-Link هیچ به‌روزرسانی یا پچی برای آن منتشر نخواهد کرد، اقدامات فوری زیر برای کاهش ریسک و محافظت از محیط عملیاتی توصیه می‌شود:

  • تعویض دستگاه: بهترین و مطمئن‌ترین راهکار، جایگزینی روتر DIR-852 با دستگاه‌های جدیدتر و تحت پشتیبانی است که آسیب‌پذیری‌های شناخته‌شده در آن‌ها برطرف شده‌اند.
  • محدودسازی دسترسی شبکه‌ای: دسترسی به رابط مدیریت HTTP/HTTPS و سرویس SOAP را محدود کرده و فقط به شبکه‌های داخلی و کاربران مجاز اجازه دسترسی دهید.
  • قطع اتصال اینترنت برای دستگاه‌های آسیب‌پذیر: در صورت عدم امکان تعویض فوری، دستگاه‌های آسیب‌پذیر را از شبکه اینترنت جدا کنید تا ریسک بهره‌برداری از راه دور کاهش یابد.
  • محدود کردن دسترسی به پورت 49152 و استفاده از فایروال: فیلتر کردن درخواست‌های مشکوک از طریق پورت 49152 می‌تواند احتمال بهره‌برداری از آسیب‌پذیری را تا حدی کاهش دهد.
  • مانیتورینگ و شناسایی فعالیت‌های مشکوک: نظارت بر ترافیک شبکه و لاگ‌های سیستم برای شناسایی درخواست‌های غیرعادی به مسیر cgi و پارامتر service انجام شود.
  • مستندسازی و آموزش کارکنان: تیم امنیتی باید با ماهیت آسیب‌پذیری و روش‌های بهره‌برداری احتمالی آشنا باشد تا در صورت مشاهده فعالیت مشکوک واکنش سریع و مؤثر داشته باشد.

با توجه به اینکه هیچ به‌روزرسانی رسمی برای این آسیب‌پذیری ارائه نشده و بهره‌برداری از آن از راه دور و بدون نیاز به احراز هویت امکان‌پذیر است، اقدامات فوری شامل تعویض دستگاه، محدودسازی دسترسی‌ها و اعمال فیلترینگ فایروال، مهم‌ترین و مؤثرترین روش‌ها برای کاهش ریسک هستند. اجرای این توصیه‌ها می‌تواند احتمال سوءاستفاده را به حداقل رسانده و امنیت محیط شبکه را به شکل قابل اعتماد و مؤثری تضمین کند.

امکان استفاده در تاکتیک های Mitre attack

  • Initial Access (TA0001)
    T1190 – Exploit Public-Facing Application
    مهاجم با ارسال درخواست مخرب به سرویس SOAP و تزریق دستورات سیستم‌عامل، بدون نیاز به احراز هویت به دستگاه دسترسی اولیه پیدا می‌کند.
  • Execution (TA0002)
    T1059 – Command and Scripting Interpreter
    اجرای دستورات سیستم‌عامل دلخواه از طریق تزریق در پارامتر service تابع
  • Persistence (TA0003)
    T1543 – Create or Modify System Process
    مهاجم می‌تواند سرویس‌هایی مانند Telnet را فعال کند تا دسترسی دائمی به دستگاه حفظ شود.
  • Defense Evasion (TA0005)
    T1564 – Hide Artifacts
    دستکاری لاگ‌ها یا اجرای دستورات به گونه‌ای که فعالیت مخرب از دید سیستم امنیتی مخفی بماند.
  • Credential Access (TA0006)
    T1003 – Credential Dumping
    امکان سرقت اطلاعات احراز هویت ذخیره‌شده روی دستگاه پس از کنترل کامل.
  • Discovery (TA0007)
    T1083 – File and Directory Discovery
    بررسی فایل‌ها، تنظیمات و ساختار سیستم‌عامل روتر برای یافتن اطلاعات حیاتی.
  • Impact (TA0040)
    T1499 – Endpoint Denial of Service
    اجرای دستورات مخرب که می‌تواند باعث از کار افتادن روتر و اختلال در شبکه شود.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-9752
  2. https://www.cvedetails.com/cve/CVE-2025-9752/
  3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-9752
  4. https://vuldb.com/?submit.640590
  5. https://vuldb.com/?id.322053
  6. https://vuldb.com/?ctiid.322053
  7. https://github.com/i-Corner/cve/issues/18
  8. https://nvd.nist.gov/vuln/detail/CVE-2025-9752
  9. https://cwe.mitre.org/data/definitions/78.html
  10. https://cwe.mitre.org/data/definitions/77.html

همچنین ممکن است دوست داشته باشید

CVE-2025-9669

CVE-2025-6911

CVE-2025-9727

CVE-2025-32023

CVE-2025-9679

CVE-2025-9441

CVE-2025-9660

CVE-2024-13987

CVE-2025-9602

CVE-2025-9443

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.