TOTOLINK X6000R lộ ba lỗ hổng nghiêm trọng cho phép thực thi mã tùy ý

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
115
1.147 bài viết
TOTOLINK X6000R lộ ba lỗ hổng nghiêm trọng cho phép thực thi mã tùy ý
TOTOLINK X6000R, một trong những dòng router phổ biến tại gia đình và văn phòng nhỏ, vừa được phát hiện tồn tại ba lỗ hổng bảo mật nghiêm trọng trong phiên bản firmware V9.4.0cu.1360_B20241207, ra mắt ngày 28 tháng 3 năm 2025. Các lỗ hổng này cho phép kẻ tấn công không xác thực gây ra tình trạng từ chối dịch vụ, làm hỏng các tệp hệ thống và thực thi các lệnh tùy ý trên thiết bị. Trước phạm vi triển khai rộng rãi của các thiết bị TOTOLINK trên toàn cầu, việc cập nhật firmware và thực hiện các biện pháp bảo mật IoT trở nên cấp thiết hơn bao giờ hết.

TOTOLINK X6000R.png

Ba lỗ hổng này đều tập trung tại giao diện web của router, cụ thể là điểm cuối /cgi-bin/cstecgi.cgi. Đây là trung tâm xử lý các yêu cầu đến thông qua tham số topicurl, chịu trách nhiệm điều phối các chức năng cấu hình và quản trị nội bộ. Do không áp dụng kiểm tra đầu vào đầy đủ, các payload tinh vi có thể được chèn vào, làm đảo lộn hoạt động dự kiến và chiếm quyền điều khiển thiết bị.

Đầu tiên là lỗ hổng CVE-2025-52905 với điểm CVSS là 7.0, là một vấn đề tiêm đối số (argument injection), xuất hiện do cơ chế lọc đầu vào dựa trên danh sách chặn ký tự bỏ sót ký tự gạch ngang (-). Điều này cho phép kẻ tấn công chèn dữ liệu độc hại vượt qua kiểm tra. Khi kết hợp với một số hàm nội bộ, lỗ hổng có thể gây Denial of Service bằng cách khởi động lại liên tục hoặc làm cạn kiệt tài nguyên, dẫn tới gián đoạn dịch vụ hoặc tắc nghẽn máy chủ từ xa.

1759466801801.png

Chức năng xác thực đầu vào cho dữ liệu đầu vào của người dùng

Tiếp theo là CVE-2025-52906 là lỗi command injection không xác thực trong hàm setEasyMeshAgentCfg, nơi tham số agentName được truyền trực tiếp vào shell mà không được xử lý an toàn. Kẻ tấn công có thể chèn ký tự đặc biệt để thực thi lệnh tùy ý với quyền của tiến trình web server, từ đó chặn lưu lượng, di chuyển ngang trong mạng nội bộ hoặc cài đặt phần mềm độc hại tồn tại lâu dài. Lỗ hổng này có mức nghiêm trong khi điểm CVSS 3.1 lên tới 9.3, được coi là nguy hiểm nhất trong ba lỗ hổng.

Cuối cùng là CVE-2025-52907 (CVSS: 7.3) liên quan đến việc bỏ qua kiểm tra đầu vào và cho phép ghi tệp tùy ý trong nhiều hàm, bao gồm setWizardCfg. Khi khai thác, kẻ tấn công có thể ghi đè các tệp quan trọng như /etc/passwd hoặc script khởi động, mở đường cho quyền root và thực thi mã từ xa bền vững sau khi thiết bị khởi động lại.

1759466866957.png

Phân tích xử lý lỗi setWizardCfg
TOTOLINK đã phát hành firmware V9.4.0cu.1498_B20250826 sửa lỗi kiểm tra đầu vào và siết chặt cơ chế lọc mọi tham số do người dùng điều khiển. Người dùng X6000R nên tải bản vá từ trang chính thức của TOTOLINK và cập nhật ngay, đồng thời kiểm tra lại các thiết lập quản trị sau khi nâng cấp để đảm bảo bản vá được áp dụng thành công.

Để giảm thiểu rủi ro và bảo vệ thiết bị trước các tấn công từ xa, người dùng cũng nên áp dụng các biện pháp bổ sung sau:
  • Đổi mật khẩu quản trị: thay mật khẩu mặc định, sử dụng mật khẩu dài, phức tạp và duy nhất
  • Tắt quản lý từ xa: vô hiệu hóa WAN/remote admin nếu không cần truy cập từ ngoài
  • Phân đoạn mạng IoT: đặt thiết bị IoT vào VLAN hoặc mạng khách để hạn chế di chuyển ngang
  • Giới hạn quyền quản trị: chỉ cho phép IP/nhóm tin cậy truy cập giao diện quản trị (ACL)
  • Giám sát lưu lượng: bật logging, theo dõi các cuộc gọi bất thường tới /cgi-bin/cstecgi.cgi và cảnh báo
  • Cập nhật hệ thống phòng thủ: bảo đảm IPS/IDS, WAF có rule chặn payload bất thường trên topicurl và các chuỗi khai thác đã biết
  • Sao lưu & kiểm tra phục hồi: lưu cấu hình sạch, kiểm tra quy trình phục hồi trong trường hợp bị thay đổi hoặc tấn công
Việc phát hiện ba lỗ hổng trên TOTOLINK X6000R một lần nữa nhấn mạnh rằng các router gia đình không chỉ là thiết bị mạng thông thường mà còn là điểm truy cập quan trọng vào toàn bộ hệ thống. Cập nhật firmware kịp thời kết hợp với các biện pháp bảo mật cơ bản là cách duy nhất để ngăn chặn truy cập trái phép và bảo vệ thiết bị trước các chiến dịch khai thác tinh vi.

Theo Cyber Press
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2025-52905 cve-2025-52907 firmware totolink ve-2025-52906
Bên trên