W oprogramowaniu routera TOTOLINK X6000R w wersji v9.4.0cu.852_B20230719 odkryto podatność typu command injection, umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych. Wysoki wynik CVSS 9.8 wskazuje na krytyczne zagrożenie dla urządzeń wystawionych na działanie sieci.
▸ Pokaż oryginał (EN)
An issue discovered in TOTOLINK X6000R v9.4.0cu.852_B20230719 allows attackers to run arbitrary commands via the sub_415AA4 function.
Podatność występuje w funkcji sub_415AA4 wbudowanego oprogramowania routera. Atakujący może dostarczyć specjalnie spreparowane dane wejściowe, które nie są odpowiednio walidowane ani filtrowane, co skutkuje interpretacją ich jako poleceń systemowych przez urządzenie. Atak nie wymaga uwierzytelnienia, interakcji użytkownika ani szczególnych warunków sieciowych, co czyni go trywialnym do przeprowadzenia zdalnie.
Atakujący może wykonać dowolne polecenia systemu operacyjnego na urządzeniu z uprawnieniami procesu podatnej funkcji, co w praktyce może prowadzić do pełnego przejęcia kontroli nad routerem, naruszenia poufności i integralności danych oraz zakłócenia dostępności usług sieciowych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsu zarządzania urządzenia wyłącznie do zaufanych adresów IP oraz wyłączenie zdalnego zarządzania przez sieć WAN.
TOTOLINK X6000R z firmware w wersji v9.4.0cu.852_B20230719
Informacja o podatności wraz z dowodem słuszności (proof-of-concept) została opublikowana w repozytorium GitHub użytkownika Beckaf.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HTotolink X6000r
HWTotolinkwszystkie wersjeTotolink X6000r Firmware
OSTotolink9.4.0cu.852_b20230719
Powiązane podatności
OS Command Injection w TOTOLINK X6000R — zdalne wykonanie poleceń
OS Command Injection w firmware routera TOTOLINK X6000R
Command injection w TOTOLINK X6000R – zdalne wykonanie kodu bez uwierzytelnienia
Command injection w TOTOLINK X6000R — zdalne wykonanie poleceń bez uwierzytelnienia
Command Injection w TOTOLINK X6000R — wykonanie dowolnych poleceń