Wiele routerów z serii D-Link DIR zawiera podatność umożliwiającą zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnych poleceń systemowych z uprawnieniami root. Podatność jest krytyczna, ponieważ nie wymaga żadnego uwierzytelnienia, a urządzenia są na etapie End-of-Life i nie otrzymają oficjalnych poprawek.
▸ Pokaż oryginał (EN)
Multiple D-Link DIR-series routers, including DIR-110, DIR-412, DIR-600, DIR-610, DIR-615, DIR-645, and DIR-815 firmware version 1.03, contain a vulnerability in the service.cgi endpoint that allows remote attackers to execute arbitrary system commands without authentication. The flaw stems from improper input handling in the EVENT=CHECKFW parameter, which is passed directly to the system shell without sanitization. A crafted HTTP POST request can inject commands that are executed with root privileges, resulting in full device compromise. These router models are no longer supported at the time of assignment and affected version ranges may vary. Exploitation evidence was first observed by the Shadowserver Foundation on 2025-08-21 UTC.
Podatność znajduje się w endpointcie service.cgi, gdzie parametr EVENT=CHECKFW przekazywany w żądaniu HTTP POST jest bezpośrednio przekazywany do powłoki systemowej bez jakiejkolwiek sanityzacji danych wejściowych (CWE-78: OS Command Injection). Atakujący może spreparować żądanie HTTP POST zawierające złośliwe polecenia wstrzyknięte w wartość tego parametru. Wstrzyknięte polecenia są wykonywane natychmiast z uprawnieniami root, co prowadzi do pełnego przejęcia kontroli nad urządzeniem.
Atakujący uzyskuje pełną kontrolę nad urządzeniem z uprawnieniami root — może wykonywać dowolne polecenia systemowe, modyfikować konfigurację, przechwytywać ruch sieciowy oraz wykorzystywać urządzenie jako punkt wejścia do sieci lokalnej. Skutkiem jest całkowite przejęcie urządzenia (full device compromise).
Producent D-Link nie wyda poprawek dla tych urządzeń, ponieważ są one objęte polityką End-of-Life. Zaleca się natychmiastową wymianę podatnych urządzeń na aktualnie wspierane modele. Do czasu wymiany należy: odizolować urządzenia od internetu (zablokować dostęp do interfejsu zarządzania od strony WAN), zastosować dodatkowe reguły firewall ograniczające dostęp do endpointu service.cgi oraz monitorować ruch sieciowy pod kątem prób eksploatacji.
Routery D-Link DIR-110, DIR-412, DIR-600, DIR-610, DIR-615, DIR-645 oraz DIR-815 z firmware w wersji 1.03. Dokładny zakres dotkniętych wersji może się różnić w zależności od modelu — szczegóły w referencjach. Wszystkie wymienione modele są objęte polityką End-of-Life producenta.
Według opisu, dowody eksploatacji zostały po raz pierwszy zaobserwowane przez Shadowserver Foundation w dniu 2025-08-21 UTC. Publicznie dostępny kod PoC (proof-of-concept) jest dostępny w serwisie GitHub oraz Exploit-DB (exploit nr 43496). Pomimo odnotowanych dowodów eksploatacji, podatność nie figuruje w katalogu CISA KEV na moment publikacji.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XDlink Dir 110
HWDlinkwszystkie wersjeDlink Dir 110 Firmware
OSDlinkwszystkie wersjeDlink Dir 412
HWDlinkwszystkie wersjeDlink Dir 412 Firmware
OSDlinkwszystkie wersjeDlink Dir 600
HWDlinkwszystkie wersjeDlink Dir 600 Firmware
OSDlinkwszystkie wersjeDlink Dir 610
HWDlinkwszystkie wersjeDlink Dir 610 Firmware
OSDlinkwszystkie wersjeDlink Dir 615
HWDlinkwszystkie wersjeDlink Dir 615 Firmware
OSDlinkwszystkie wersjeDlink Dir 645
HWDlinkwszystkie wersjeDlink Dir 645 Firmware
OSDlinkwszystkie wersjeDlink Dir 815
HWDlinkwszystkie wersjeDlink Dir 815 Firmware
OSDlink1.03
Powiązane podatności
Unauthenticated remote code execution occurs in D-Link products such as DIR-655C, DIR-866L, DIR-652, and DHP-1...
The miniigd SOAP service in Realtek SDK allows remote attackers to execute arbitrary code via a crafted NewInt...
D-Link DIR-300/DIR-600 — nieuwierzytelniony OS command injection w command.php
D-Link DIR-300/DIR-600: nieuwierzytelniony command injection z uprawnieniami root
Command injection w routerze D-Link DIR-815 — podatność krytyczna (CVSS 9.8)