概要
TOTOLINK X6000RルーターのファームウェアバージョンV9.4.0cu.1360_B20241207(2025年3月28日リリース)に、3つの重大なセキュリティ脆弱性が発見されました。これらの脆弱性は、引数インジェクション、コマンドインジェクション、およびセキュリティバイパスを含み、認証なしでリモートコード実行(RCE)を可能にする可能性があります。攻撃者はデバイスをクラッシュさせたり、システムファイルを破損させたり、任意のコマンドを実行したりすることができます。ユーザーは、ネットワークを保護するために、直ちに修正済みファームウェアリリース(V9.4.0cu.1498_B20250826)にアップデートする必要があります。
脆弱性の概要
発見された3つの脆弱性の詳細は以下の通りです。
- CVE-2025-52905 (評価: High, CVSS-Bスコア: 7.0): 引数インジェクションの脆弱性。ルーターをクラッシュさせたり、外部サーバーを過負荷にしたりして、サービス拒否(DoS)を引き起こす可能性があります。
- CVE-2025-52906 (評価: Critical, CVSS-Bスコア: 9.3): 認証不要なコマンドインジェクション。デバイス上で任意のコマンドをリモートで実行できます。
- CVE-2025-52907 (評価: High, CVSS-Bスコア: 7.3): セキュリティバイパス。任意のファイル書き込み、永続的なサービス拒否、または連鎖的なリモートコード実行エクスプロイトを可能にします。
CVE-2025-52905: 引数インジェクションの技術的分析
ファームウェアのウェブインターフェースエンドポイントである/cgi-bin/cstecgi.cgiは、topicurlパラメータに基づいてユーザー入力を処理します。この脆弱性は、危険な文字をブロックするものの、ハイフン(-)を見落としている不完全な入力検証機能に起因します。この見落としにより、悪意のあるペイロードがフィルタリングを回避できます。攻撃者は、システムコールに引数を注入する細工されたリクエストを送信し、デバイスをクラッシュさせたり、操作を外部サーバーにリダイレクトさせたりすることができます。このエクスプロイトには、ルーターのウェブUIへのネットワークアクセスのみが必要であり、脅威アクターによる大量スキャンや自動化された攻撃を容易にします。
CVE-2025-52906: 認証不要なコマンドインジェクションの影響
CVE-2025-52906は、メッシュエージェント設定を構成するsetEasyMeshAgentCfg関数に存在します。この関数はagentNameパラメータをサニタイズせず、認証されていない攻撃者がシェルコマンドを挿入することを可能にします。ウェブサーバープロセスによって実行されると、これらのコマンドは昇格された権限で実行されます。エクスプロイトが成功すると、永続的なマルウェアをインストールしたり、ネットワークトラフィックを傍受したり、ユーザー環境内の他のデバイスに侵入したりする可能性があります。この脆弱性は、入力サニタイズと認証制御における重大な欠陥を示しています。
CVE-2025-52907: RCEにつながるセキュリティバイパス
CVE-2025-52907は、setWizardCfg関数における同様の欠陥のあるサニタイズロジックを悪用します。ブロックリストを回避する入力を細工することで、攻撃者は任意のファイル書き込みを実行できます。/etc/passwdのような重要なシステムファイルを変更して新しいアカウントを追加したり、ブートスクリプトを変更して再起動時にリモートコード実行を保証したりすることが可能です。この連鎖的なエクスプロイトにより、ルーターに対する永続的な制御が可能になり、ネットワークセキュリティの境界が損なわれます。
対策と推奨事項
ホームルーターはすべての接続デバイスへのゲートウェイであり、これらの脆弱性はIoTファームウェアにおける厳格な入力検証の必要性を浮き彫りにしています。TOTOLINK X6000Rのユーザーは、ファームウェアV9.4.0cu.1498_B20250826に遅滞なくアップデートする必要があります。 最新のファームウェアを維持し、堅牢なネットワーク監視を行うことは、新たなIoTの脅威から保護するために不可欠です。
元記事: https://gbhackers.com/totolink-x6000r-routers-hit-by-three-vulnerabilities/