-
09/04/2020
-
115
-
1.147 bài viết
TOTOLINK X6000R lộ ba lỗ hổng nghiêm trọng cho phép thực thi mã tùy ý
TOTOLINK X6000R, một trong những dòng router phổ biến tại gia đình và văn phòng nhỏ, vừa được phát hiện tồn tại ba lỗ hổng bảo mật nghiêm trọng trong phiên bản firmware V9.4.0cu.1360_B20241207, ra mắt ngày 28 tháng 3 năm 2025. Các lỗ hổng này cho phép kẻ tấn công không xác thực gây ra tình trạng từ chối dịch vụ, làm hỏng các tệp hệ thống và thực thi các lệnh tùy ý trên thiết bị. Trước phạm vi triển khai rộng rãi của các thiết bị TOTOLINK trên toàn cầu, việc cập nhật firmware và thực hiện các biện pháp bảo mật IoT trở nên cấp thiết hơn bao giờ hết.
Ba lỗ hổng này đều tập trung tại giao diện web của router, cụ thể là điểm cuối /cgi-bin/cstecgi.cgi. Đây là trung tâm xử lý các yêu cầu đến thông qua tham số topicurl, chịu trách nhiệm điều phối các chức năng cấu hình và quản trị nội bộ. Do không áp dụng kiểm tra đầu vào đầy đủ, các payload tinh vi có thể được chèn vào, làm đảo lộn hoạt động dự kiến và chiếm quyền điều khiển thiết bị.
Đầu tiên là lỗ hổng CVE-2025-52905 với điểm CVSS là 7.0, là một vấn đề tiêm đối số (argument injection), xuất hiện do cơ chế lọc đầu vào dựa trên danh sách chặn ký tự bỏ sót ký tự gạch ngang (-). Điều này cho phép kẻ tấn công chèn dữ liệu độc hại vượt qua kiểm tra. Khi kết hợp với một số hàm nội bộ, lỗ hổng có thể gây Denial of Service bằng cách khởi động lại liên tục hoặc làm cạn kiệt tài nguyên, dẫn tới gián đoạn dịch vụ hoặc tắc nghẽn máy chủ từ xa.
Chức năng xác thực đầu vào cho dữ liệu đầu vào của người dùng
Tiếp theo là CVE-2025-52906 là lỗi command injection không xác thực trong hàm setEasyMeshAgentCfg, nơi tham số agentName được truyền trực tiếp vào shell mà không được xử lý an toàn. Kẻ tấn công có thể chèn ký tự đặc biệt để thực thi lệnh tùy ý với quyền của tiến trình web server, từ đó chặn lưu lượng, di chuyển ngang trong mạng nội bộ hoặc cài đặt phần mềm độc hại tồn tại lâu dài. Lỗ hổng này có mức nghiêm trong khi điểm CVSS 3.1 lên tới 9.3, được coi là nguy hiểm nhất trong ba lỗ hổng.
Cuối cùng là CVE-2025-52907 (CVSS: 7.3) liên quan đến việc bỏ qua kiểm tra đầu vào và cho phép ghi tệp tùy ý trong nhiều hàm, bao gồm setWizardCfg. Khi khai thác, kẻ tấn công có thể ghi đè các tệp quan trọng như /etc/passwd hoặc script khởi động, mở đường cho quyền root và thực thi mã từ xa bền vững sau khi thiết bị khởi động lại.
Phân tích xử lý lỗi setWizardCfg
TOTOLINK đã phát hành firmware V9.4.0cu.1498_B20250826 sửa lỗi kiểm tra đầu vào và siết chặt cơ chế lọc mọi tham số do người dùng điều khiển. Người dùng X6000R nên tải bản vá từ trang chính thức của TOTOLINK và cập nhật ngay, đồng thời kiểm tra lại các thiết lập quản trị sau khi nâng cấp để đảm bảo bản vá được áp dụng thành công.
Để giảm thiểu rủi ro và bảo vệ thiết bị trước các tấn công từ xa, người dùng cũng nên áp dụng các biện pháp bổ sung sau:
Ba lỗ hổng này đều tập trung tại giao diện web của router, cụ thể là điểm cuối /cgi-bin/cstecgi.cgi. Đây là trung tâm xử lý các yêu cầu đến thông qua tham số topicurl, chịu trách nhiệm điều phối các chức năng cấu hình và quản trị nội bộ. Do không áp dụng kiểm tra đầu vào đầy đủ, các payload tinh vi có thể được chèn vào, làm đảo lộn hoạt động dự kiến và chiếm quyền điều khiển thiết bị.
Đầu tiên là lỗ hổng CVE-2025-52905 với điểm CVSS là 7.0, là một vấn đề tiêm đối số (argument injection), xuất hiện do cơ chế lọc đầu vào dựa trên danh sách chặn ký tự bỏ sót ký tự gạch ngang (-). Điều này cho phép kẻ tấn công chèn dữ liệu độc hại vượt qua kiểm tra. Khi kết hợp với một số hàm nội bộ, lỗ hổng có thể gây Denial of Service bằng cách khởi động lại liên tục hoặc làm cạn kiệt tài nguyên, dẫn tới gián đoạn dịch vụ hoặc tắc nghẽn máy chủ từ xa.
Chức năng xác thực đầu vào cho dữ liệu đầu vào của người dùng
Tiếp theo là CVE-2025-52906 là lỗi command injection không xác thực trong hàm setEasyMeshAgentCfg, nơi tham số agentName được truyền trực tiếp vào shell mà không được xử lý an toàn. Kẻ tấn công có thể chèn ký tự đặc biệt để thực thi lệnh tùy ý với quyền của tiến trình web server, từ đó chặn lưu lượng, di chuyển ngang trong mạng nội bộ hoặc cài đặt phần mềm độc hại tồn tại lâu dài. Lỗ hổng này có mức nghiêm trong khi điểm CVSS 3.1 lên tới 9.3, được coi là nguy hiểm nhất trong ba lỗ hổng.
Cuối cùng là CVE-2025-52907 (CVSS: 7.3) liên quan đến việc bỏ qua kiểm tra đầu vào và cho phép ghi tệp tùy ý trong nhiều hàm, bao gồm setWizardCfg. Khi khai thác, kẻ tấn công có thể ghi đè các tệp quan trọng như /etc/passwd hoặc script khởi động, mở đường cho quyền root và thực thi mã từ xa bền vững sau khi thiết bị khởi động lại.
Phân tích xử lý lỗi setWizardCfg
Để giảm thiểu rủi ro và bảo vệ thiết bị trước các tấn công từ xa, người dùng cũng nên áp dụng các biện pháp bổ sung sau:
- Đổi mật khẩu quản trị: thay mật khẩu mặc định, sử dụng mật khẩu dài, phức tạp và duy nhất
- Tắt quản lý từ xa: vô hiệu hóa WAN/remote admin nếu không cần truy cập từ ngoài
- Phân đoạn mạng IoT: đặt thiết bị IoT vào VLAN hoặc mạng khách để hạn chế di chuyển ngang
- Giới hạn quyền quản trị: chỉ cho phép IP/nhóm tin cậy truy cập giao diện quản trị (ACL)
- Giám sát lưu lượng: bật logging, theo dõi các cuộc gọi bất thường tới /cgi-bin/cstecgi.cgi và cảnh báo
- Cập nhật hệ thống phòng thủ: bảo đảm IPS/IDS, WAF có rule chặn payload bất thường trên topicurl và các chuỗi khai thác đã biết
- Sao lưu & kiểm tra phục hồi: lưu cấu hình sạch, kiểm tra quy trình phục hồi trong trường hợp bị thay đổi hoặc tấn công
Theo Cyber Press