Araştırmacılar, TP-Link yönlendiricilerinde, saldırganların adres alanı düzeni randomizasyonunu (ASLR) atlamasına ve keyfi kodu uzaktan yürütmesine izin veren sıfır gün güvenlik açığı ortaya çıkardılar.
CVE-2025-9961 olarak izlenen bu kusur, CWMP (TR-069) ikili içinde bulunur ve etkilenen cihazların tam kontrolünü sağlayarak kötü biçimlendirilmiş sabun istekleri ile tetiklenebilir.
Keşif, sömürü ve iyileştirmenin ayrıntılı bir teknik yoluyla, güvenlik açığının etkisinin ve ön koşullarının özlü bir özeti ile birlikte.
CVE Detayları ve Etki
Güvenlik açığı, CWMP parametre belirleme rutininde kontrolsüz bir yığın tabanlı tampon taşmasından kaynaklanır.
Özel bir ACS sunucusu aracılığıyla özenle hazırlanmış bir yük sağlayarak, saldırganlar program sayacının üzerine yazabilir ve yürütme akışını kaçırabilir.
ASLR’nin aktif olmasına rağmen, temel adres alanının kaba çalışması, Web kullanıcı arayüzü aracılığıyla otomatik hizmet yeniden başlatıldığında güvenilir bir sömürü sağlar.
LIBC’nin sisteminden yararlanan bir RET2LIBC yaklaşımı () işlevi nihayetinde kurban ağında ters bir kabuk ortaya çıkarır.
| CVE kimliği | Etkilenen ürün | Darbe | Önkoşuldan istismar | CVSS 3.1 puanı |
| CVE-2025-9961 | TP-Link CWMP Hizmeti | Uzak Kod Yürütme | Geçerli yönlendirici Web UI kimlik bilgileri, özel ACS sunucusu, kaba zorlama ASLR | 9.8 |
Keşif ve POC Geliştirme
Byteray’ın ekibi ilk olarak ürün yazılımı indirgeme deneyleri sırasında CVE-2025-9961’i tanımladı ve savunmasız bir CWMP sürümü yüklemek için daha önceki bir komut enjeksiyon kusurundan (CVE-2023-1389) yararlandı.
Checksec kullanarak, NX ve kısmi relro etkinleştirilmiş ve ASLR sırasıyla libc ve yığın üzerinde 9 ila 10 bit entropi sağlasa da, ikili eksik pasta ve yığın kanaryalarını doğruladılar.
Genieacs üzerinden ilk POC’ler, yüklenemeyen baytları koruyamadı ve yük byt aralığını tamamen ileten ısmarlama piton tabanlı AC’lerin oluşturulmasını istedi.
Özel ACS üç adım gerçekleştirir:
- Bir TR-069 oturumu başlatın ve cihazın CPE tanımlayıcısını alın.
- Oturum çerezleri oluşturun ve taşma yükünü içeren bir SetParametervalues isteği gönderin.
- Randomize taban adresini, yönlendiricinin web paneli aracılığıyla hizmeti yeniden başlatarak CWMP çökmelerini kullanır.
Bir ret2libc zinciri, basit bir HTTP sunucusuna barındırılan bir ters kabuk yükü yükler. Null baytlardan kaçınmak için anahtar araçlar ve fonksiyon işaretçileri dinamik olarak hesaplanır.
Son yük, Curl’u kötü niyetli bir elf kabuğu ikili getirmeye ve yürütmeye çağırır ve saldırgana ters TCP bağlantısı ile sonuçlanır.
TP-Link, giriş uzunluğu kontrolleri ekleyerek ve tam Relro ve Stack Kanaryalarını etkinleştirerek CVE-2025-9961’i ele alan ürün yazılımı güncellemeleri yayınladı.
Yöneticiler derhal yükseltmeli ve açıkça gerekmedikçe uzak ACS yapılandırmasını devre dışı bırakmalıdır. Web kullanıcı arayüzü üzerinde güçlü kimlik bilgileri uygulamak ve TR-069 güvenilir ağlara erişim kısıtlamak daha da azalır.
CVE-2025-9961, kusurlu yönetim protokolleri ve yetersiz ikili sertleştirme tarafından ortaya çıkan ciddi riskleri vurgular.
Zamanında yama ve derinlemesine savunma önlemleri, gelişmiş sömürü tekniklerine karşı ağ altyapısını korumak için kritik öneme sahiptir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.