CVE-2025-11653CVE-2025-11653是UTT HiPER 2620G路由器固件(版本至3.1.4)中存在的一个高危缓冲区溢出漏洞。该漏洞位于路由器的/goform/fNTP接口的strcpy函数中,攻击者通过精心构造的NTPServerIP参数可以触发缓冲区溢出,从而实现远程代码执行。
UTT HiPER 2620G是一款企业级无线路由器,广泛应用于中小企业办公环境中。该设备提供了NTP(网络时间协议)配置功能,允许管理员设置NTP服务器IP地址以同步设备时间。然而,在处理用户提交的NTPServerIP参数时,程序使用了不安全的strcpy函数进行字符串拷贝操作,且未对输入长度进行有效校验,导致存在典型的栈缓冲区溢出风险。
该漏洞的CVSS 3.1评分为8.8分,属于高危级别。攻击向量为网络(AV:N),攻击复杂度低(AC:L),仅需低权限认证(PR:L),无需用户交互(UI:N),对机密性、完整性和可用性均产生高影响(C:H/I:H/A:H)。这意味着经过认证的远程攻击者可以轻松利用此漏洞,完全控制受影响的路由器设备。
值得注意的是,该漏洞的利用代码已被公开披露,攻击者可以从相关GitHub仓库获取PoC(概念验证代码),这大大增加了漏洞被实际利用的风险。此外,供应商在漏洞披露前已被通知,但未做出任何响应,也未发布安全补丁,使得用户面临极大的安全风险。
该漏洞的根本原因在于UTT HiPER 2620G路由器固件在处理NTP配置请求时,对用户输入的NTPServerIP参数缺乏适当的长度校验。具体技术细节如下:
1. **漏洞位置**:/goform/fNTP接口的strcpy函数调用处。该接口是路由器Web管理界面中用于配置NTP服务器的功能端点。
2. **触发机制**:当用户通过HTTP POST请求向/goform/fNTP提交NTP配置时,NTPServerIP参数的值被直接传递给strcpy函数。strcpy函数会将源字符串(包括结尾的空字符)完整复制到目标缓冲区,而不检查目标缓冲区的大小。
3. **溢出原理**:目标缓冲区在栈上分配,大小有限。当攻击者提交的NTPServerIP值超过缓冲区容量时,strcpy会继续复制超出部分的数据,覆盖栈上的返回地址、帧指针等关键数据,从而劫持程序执行流程。
4. **利用方式**:攻击者首先需要获取路由器的合法登录凭证(管理员或具有NTP配置权限的用户)。然后构造包含超长NTPServerIP值的HTTP POST请求,发送到/goform/fNTP端点。通过精确控制溢出数据,攻击者可以覆盖返回地址为shellcode地址或ROP gadget地址,实现远程代码执行。
5. **影响范围**:成功利用此漏洞后,攻击者可以在路由器上执行任意代码,获取设备完全控制权,可能进一步用于内网渗透、DNS劫持、中间人攻击等恶意活动。