28 Mart 2025’te piyasaya sürülen Totolink X6000R yönlendiricisinin V9.4.0CU.1360_B20241207 ürün yazılımı sürümü üç kritik güvenlik kusuru keşfedildi.
Bu güvenlik açıkları, argüman enjeksiyonu ve komut enjeksiyonundan uzaktan kod yürütülmesine yol açabilecek bir güvenlik bypass’a kadar değişir.
Saldırganlar cihazları çökertebilir, sistem dosyalarını bozabilir ve kimlik doğrulaması yapmadan keyfi komutlar yürütebilir.
Kullanıcılar, ağlarını korumak için derhal sabit ürün yazılımı sürümüne (v9.4.1498_b20250826) güncellemelidir.
Güvenlik açıklarına genel bakış
| CVE tanımlayıcısı | Derecelendirme | CVSS-B Skoru | Tanım |
| CVE-2025-52905 | Yüksek | 7.0 | Yönlendiriciyi çökertebilen veya harici sunucuları bunaltırabilen argüman enjeksiyon kusuru, hizmet reddi ile sonuçlanır. |
| CVE-2025-52906 | Eleştirel | 9.3 | Cihazda keyfi komutların uzaktan yürütülmesine izin veren kimlik doğrulanmamış komut enjeksiyonu. |
| CVE-2025-52907 | Yüksek | 7.3 | Güvenlik baypas, keyfi dosyanın sağlanması, kalıcı hizmet reddi veya zincir olabilir uzaktan kod yürütme istismarları. |
Argüman Enjeksiyonunun Teknik Analizi-CVE-2025-52905
Ürün yazılımının merkezi web arayüzü uç noktası olan /cgi-bin/cstecgi.cgi, bir TopicURL parametresine dayalı kullanıcı girişlerini işler.
CVE-2025-52905, tehlikeli karakterleri bloke eden ancak tire’yi atlayan eksik bir giriş doğrulama işlevinden kaynaklanmaktadır (-).
Bu gözetim, kötü amaçlı yüklerin filtrelemeye bayılmasını sağlar. Saldırganlar, sistem çağrılarına argümanları enjekte eden, cihazı çökerten veya harici sunuculara yönlendiren hazırlanmış istekler gönderebilir.
Sömürme, yalnızca yönlendiricinin Web kullanıcı arayüzüne ağ erişimini gerektirir, bu da tehdit aktörleri için kütle tarama ve otomatik saldırıları önemsiz hale getirir.
Yetkısız Komut Enjeksiyon Etkisi-CVE-2025-52906
Mesh Aracı ayarlarını yapılandıran syeAsyMesHagentCFG işlevinde CVE-2025-52906 mevcuttur. İşlev, AgentName parametresini sterilize edemez ve kimlik doğrulanmamış saldırganların kabuk komutlarını eklemesini sağlar.
Web sunucusu işlemi tarafından yürütüldüğünde, bu komutlar yüksek ayrıcalıklarla çalışır. Başarılı bir istismar, kullanıcının ortamındaki diğer cihazlara kalıcı kötü amaçlı yazılımları, ağ trafiğini kesebilir veya pivot yükleyebilir.
Bu güvenlik açığı, giriş sterizizasyonu ve kimlik doğrulama kontrollerinde kritik bir atlamayı temsil eder.
RCE’ye yol açan güvenlik bypass-CVE-2025-52907
CVE-2025-52907, SetWizardCFG işlevindeki aynı kusurlu sterilizasyon mantığından yararlanır. Saldırganlar, blok listesinden kaçınan girdiler hazırlayarak keyfi dosya yazıyor.
/Etc /passwd gibi kritik sistem dosyaları yeni hesaplar eklemek için değiştirilebilir ve yeniden başlatma sırasında uzaktan kod yürütülmesini garanti etmek için önyükleme komut dosyaları değiştirilebilir.
Bu zincirlemeli istismar, yönlendirici üzerinde kalıcı kontrolü sağlar ve herhangi bir ağ güvenlik çevresini baltalar.
Ev yönlendiricileri, bağlı tüm cihazlara açılan kapıdır ve bu güvenlik açıkları, Palo Alto Networks tarafından bildirildiği gibi IoT ürün yazılımında titiz giriş doğrulama ihtiyacını vurgular.
Totolink X6000R kullanıcıları, gecikmeden v9.4.0cu.1498_b20250826 ürün yazılımına güncellemelidir.
Güncel ürün yazılımının ve sağlam ağ izlemesinin korunması, ortaya çıkan IoT tehditlerine karşı korunmak için gereklidir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.