CERT Koordinasyon Merkezi (CERT/CC), TOTOLINK EX200 kablosuz menzil genişleticiyi etkileyen ve kimliği doğrulanmış uzaktan bir saldırganın cihazın tam kontrolünü ele geçirmesine olanak verebilecek yamalanmamış bir güvenlik kusurunun ayrıntılarını açıkladı.
Kusur, CVE-2025-65606 (CVSS puanı: Yok), aygıt yazılımı yükleme hata işleme mantığında, aygıtın yanlışlıkla kimliği doğrulanmamış bir kök düzeyinde telnet hizmeti başlatmasına neden olabilecek bir kusur olarak nitelendirilmiştir. CERT/CC, sorunu keşfedip bildirdiği için Leandro Kogan’a teşekkür etti.
CERT/CC, “Kimliği doğrulanmış bir saldırgan, cihaz yazılımı yükleme işleyicisinde, cihazın kimliği doğrulanmamış bir kök telnet hizmeti başlatmasına neden olan ve tam sistem erişimi sağlayan bir hata durumunu tetikleyebilir” dedi.
Kusurun başarılı bir şekilde kullanılması, saldırganın ürün yazılımı yükleme işlevine erişebilmesi için web yönetimi arayüzünde kimliğinin zaten doğrulanmış olmasını gerektirir.
CERT/CC, bazı hatalı biçimlendirilmiş donanım yazılımı dosyaları işlendiğinde donanım yazılımı yükleme işleyicisinin “anormal bir hata durumuna” girdiğini ve bunun, cihazın kök ayrıcalıklarıyla ve herhangi bir kimlik doğrulama gerektirmeden bir telnet hizmeti başlatmasına neden olduğunu söyledi.
Bu istenmeyen uzaktan yönetim arayüzü, saldırgan tarafından hassas cihazları ele geçirmek için kullanılabilir ve bu da konfigürasyon manipülasyonuna, rastgele komut yürütülmesine veya kalıcılığa yol açabilir.
CERT/CC’ye göre TOTOLINK, kusuru gidermek için herhangi bir yama yayınlamadı ve ürünün artık aktif olarak bakımının yapılmadığı söyleniyor. TOTOLINK’in EX200 web sayfası, ürünün donanım yazılımının en son Şubat 2023’te güncellendiğini gösteriyor.
Bir düzeltmenin bulunmaması durumunda, cihazın kullanıcılarına, güvenilir ağlara yönetici erişimini kısıtlamaları, yetkisiz kullanıcıların yönetim arayüzüne erişmesini önlemeleri, anormal etkinlikleri izlemeleri ve desteklenen bir modele yükseltmeleri önerilir.