خانه » CVE-2025-9935
هشدار‌های سایبری

CVE-2025-9935

TOTOLINK N600R Cstecgi.Cgi Sub_4159F8 Command Injection

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 3 بازدید
هشدار سایبری CVE-2025-9935
  • شناسه CVE-2025-9935 :CVE
  • CWE-77, CWE-74 :CWE
  • yes :Advisory
  • منتشر شده: سپتامبر 3, 2025
  • به روز شده: سپتامبر 3, 2025
  • امتیاز: 7.3
  • نوع حمله: Command Injection
  • اثر گذاری: Unknown
  • حوزه: تجهیزات شبکه و امنیت
  • برند: TOTOLINK
  • محصول: N600R
  • وضعیتPublished :CVE
  • Yes :POC
  • وضعیت آسیب پذیری: patch نشده

چکیده

یک آسیب‌پذیری در روتر TOTOLINK N600R نسخه 4.3.0cu.7866_B20220506به دلیل ضعف در تابع sub_4159F8 فایل /web_cste/cgi-bin/cstecgi.cgiشناسایی شده است که امکان تزریق فرمان(Command Injection) را فراهم می‌کند. این ضعف امنیتی به مهاجمان بدون نیاز به احراز هویت اجازه می‌دهد تا دستورات دلخواه را از راه دور اجرا کنند.

توضیحات

آسیب‌پذیری CVE-2025-9935 در روتر TOTOLINK N600R نسخه 4.3.0cu.7866_B20220506 ناشی از ضعف در تابع sub_4159F8 فایل /web_cste/cgi-bin/cstecgi.cgi است که امکان تزریق فرمان (مطابق با CWE-77 و CWE-74) را فراهم می‌کند. این ضعف امنیتی به دلیل عدم اعتبارسنجی یا پاک‌سازی مناسب ورودی‌های ارسالی از سمت کاربر در پارامتر langType رخ می‌دهد که مستقیماً در تابع system() استفاده شده و به مهاجمان بدون نیاز به احراز هویت اجازه می‌دهد دستورات سیستمی دلخواه را از طریق درخواست‌های HTTP POST مخرب (پروتکل استاندارد انتقال داده ها بین کلاینت و سرور در وب) اجرا کنند.

این آسیب‌پذیری در مسیر setting/setLanguageCfg شناسایی شده، جایی که داده‌های ورودی با استفاده از sprintf() به رشته‌ای برای اجرای دستورات سیستمی متصل می‌شوند، بدون اینکه بررسی‌های امنیتی کافی انجام شود. این امر امکان اجرای دستورات با استفاده از تکنیک‌هایی مانند جایگزینی دستورات مبتنی بر backtick (اجرای دستورات داخل backtickدر سطح سیستم عامل) را فراهم می‌کند که می‌تواند منجر به کنترل کامل سیستم شود.

یک کد اثبات مفهومی (PoC) به صورت عمومی منتشر شده است که با ارسال درخواست POST به آدرس /cgi-bin/cstecgi.cgi با پارامتر langType حاوی دستوراتی مانند “ls -l > ../123.txt “، اجرای دستورات دلخواه را نشان می‌دهد. این اکسپلویت نیازی به احراز هویت ندارد و از راه دور قابل اجرا است که ریسک سوءاستفاده را به شدت افزایش می‌دهد. تأثیرات این آسیب پذیری شامل نقض محرمانگی با امکان دسترسی به داده‌های حساس، یکپارچگی به معنای تغییر پیکربندی سیستم و دسترس‌پذیری با امکان اختلال در عملکرد دستگاه است.

تا زمان انتشار این گزارش، هیچ گونه پچ یا به روزرسانی امنیتی برای این آسیب‌پذیری ارائه نشده و وضعیت آن در منابع رسمی به‌صورت “نامشخص” ثبت شده است.

CVSS

Score Severity Version Vector String
6.9 MEDIUM 4.0 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P
7.3 HIGH 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R
7.3 HIGH 3.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R
7.5 2.0 AV:N/AC:L/Au:N/C:P/I:P/A:P/E:POC/RL:ND/RC:UR

 لیست محصولات آسیب پذیر

Versions Product
affected at 4.3.0cu.7866_B20220506 N600R

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که برند TOTOLINK و همچنین روتر TOTOLINK N600R را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی از آن ها نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Product
11,200 TOTOLINK
9 TOTOLINK N600R

 نتیجه گیری

با توجه به شدت بالای این آسیب‌پذیری و امکان اجرای دستورات دلخواه بدون نیاز به احراز هویت، اقدامات زیر به طور خاص برای مقابله با این ضعف توصیه می‌شود:

  • محدود کردن دسترسی به رابط وب مدیریتی: غیرفعال کردن مدیریت از راه دور (Remote Management) و اطمینان از اینکه تنها کاربران معتبر از شبکه داخلی امن به روتر دسترسی دارند.
  • مسدودسازی یا فیلتر کردن درخواست‌های HTTP غیرمجاز: استفاده از فایروال یا پیکربندی های امنیتی برای جلوگیری از ارسال پیلود های مخرب به مسیر /web_cste/cgi-bin/cstecgi.cgi.
  • نظارت بر فعالیت‌ها و لاگ‌ها: بررسی مداوم لاگ‌ها و ترافیک شبکه برای شناسایی تلاش‌های غیرمجاز یا اجرای دستورات مشکوک، به ویژه پارامتر langType.
  • استفاده از شبکه امن برای مدیریت: دسترسی به روتر تنها از طریق VPN یا شبکه‌های داخلی امن انجام شود تا احتمال ارسال پیلود توسط مهاجمان کاهش یابد.
  • ایزوله کردن دستگاه در شبکه: در صورت امکان، روترهای آسیب‌پذیر را از شبکه‌های عمومی یا اینترنت جدا کرده تا احتمال سوءاستفاده کاهش یابد.
  • جایگزینی دستگاه: در صورت عدم انتشار پچ رسمی، تعویض دستگاه با مدل امن‌تر یا به‌روز، بهترین گزینه برای کاهش ریسک است.

اجرای این اقدامات پیشگیرانه تا زمان ارائه پچ رسمی، ریسک سوءاستفاده از روتر TOTOLINK را کاهش داده و امنیت دستگاه را حفظ می‌کنند.

امکان استفاده در تاکتیک های Mitre Attack

  • Initial Access (TA0001)

T1190 – Exploit Public-Facing Application
مهاجم می‌تواند با ارسال درخواست‌های HTTP مخرب به مسیر /cgi-bin/cstecgi.cgi بدون نیاز به احراز هویت، از ضعف تزریق فرمان سوءاستفاده کرده و دسترسی اولیه به دستگاه را به دست آورد.

  • Execution (TA0002)

T1059 – Command and Scripting Interpreter
اجرای دستورات دلخواه در سطح سیستم عامل از طریق پارامتر langType که مستقیماً به تابع system() پاس داده می‌شود.
T1203 – Exploitation for Client Execution
اجرای موفقیت‌آمیز کد از راه دور (RCE) به دلیل نقص در اعتبارسنجی ورودی و استفاده از sprintf() بدون بررسی امنیتی.

  • Persistence (TA0003)

T1547 – Boot or Logon Autostart Execution
مهاجم می‌تواند پس از دسترسی اولیه، اسکریپت‌ها یا تغییرات پیکربندی را به گونه‌ای ذخیره کند که پس از راه‌اندازی مجدد دستگاه نیز فعال باقی بمانند.

  • Privilege Escalation (TA0004)

T1068 – Exploitation for Privilege Escalation
با توجه به اجرای دستورات در سطح سیستم عامل، مهاجم می‌تواند دسترسی بالاتری کسب کرده و کنترل کامل روتر را در اختیار بگیرد.

  • Defense Evasion (TA0005)

T1070 – Indicator Removal on Host
مهاجم قادر است لاگ‌ها و فایل‌های ثبت فعالیت را حذف یا تغییر دهد تا ردپای فعالیت‌های مخرب خود را پنهان کند.

  • Credential Access (TA0006)

T1552 – Unsecured Credentials
در صورت ذخیره اطلاعات لاگین یا کلیدهای دسترسی در فایل‌های پیکربندی، مهاجم می‌تواند به این داده‌ها دست یابد.

  • Discovery (TA0007)

T1082 – System Information Discovery
اجرای دستورات مانند uname -a یا ifconfig برای شناسایی سیستم‌عامل و ساختار شبکه.
T1046 – Network Service Scanning
امکان اسکن سرویس‌ها و پورت‌های داخلی شبکه از طریق روتر آلوده.

Lateral Movement (TA0008)

T1021 – Remote Services
استفاده از روتر به عنوان سکوی پرش برای دسترسی به سیستم‌های دیگر در شبکه داخلی.

  • Collection (TA0009)

T1005 – Data from Local System
دسترسی به فایل‌ها و اطلاعات ذخیره‌شده روی دستگاه.
T1074 – Data Staged
ذخیره داده‌ها در فایل‌های موقت پیش از استخراج.

  • Exfiltration (TA0010)

T1041 – Exfiltration Over C2 Channel
ارسال داده‌های جمع‌آوری‌شده به سرور کنترل مهاجم از طریق HTTP/HTTPS

  • Impact (TA0040)

T1499 – Endpoint Denial of Service
اجرای دستورات مخرب می‌تواند باعث اختلال در سرویس‌دهی دستگاه شود.
T1565 – Data Manipulation
تغییر تنظیمات روتر و دستکاری داده‌های پیکربندی.
T1489 – Service Stop
امکان متوقف کردن سرویس‌های حیاتی و قطع دسترسی کاربران به اینترنت.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-9935
  2. https://www.cvedetails.com/cve/CVE-2025-9935/
  3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-9935
  4. https://vuldb.com/?submit.643088
  5. https://vuldb.com/?id.322337
  6. https://vuldb.com/?ctiid.322337
  7. https://github.com/mono7s/TOTOLINK/blob/main/N600R/TOTOLINK%20N600R%20Unauthorized_Command_Injection.md
  8. https://nvd.nist.gov/vuln/detail/CVE-2025-9935
  9. https://cwe.mitre.org/data/definitions/77.html
  10. https://cwe.mitre.org/data/definitions/74.html

همچنین ممکن است دوست داشته باشید

CVE-2025-8359

CVE-2025-50154

CVE-2025-9074

CVE-2025-7775

CVE-2025-46810

CVE-2025-2414

CVE-2025-49113

CVE-2025-9727

CVE-2025-9901

CVE-2025-9812

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.