Ba **lỗ hổng CVE nghiêm trọng** đã được phát hiện trong phiên bản firmware V9.4.0cu.1360_B20241207 của bộ định tuyến TOTOLINK X6000R, được phát hành vào ngày 28 tháng 3 năm 2025. Các **lỗ hổng TOTOLINK X6000R** này bao gồm từ injection tham số (argument injection) và injection lệnh (command injection) cho đến một lỗi bỏ qua bảo mật (security bypass).
Chuỗi các lỗ hổng này có thể dẫn đến **remote code execution** (RCE) không cần xác thực. Kẻ tấn công có khả năng gây treo thiết bị, làm hỏng các tệp hệ thống quan trọng, và thực thi các lệnh tùy ý. Người dùng cần cập nhật ngay lập tức lên bản firmware sửa lỗi (V9.4.0cu.1498_B20250826) để bảo vệ mạng của mình khỏi các cuộc tấn công tiềm tàng.
Phân Tích Kỹ Thuật các Lỗ Hổng CVE Nghiêm Trọng
Các phát hiện này chỉ ra sự thiếu sót nghiêm trọng trong quá trình kiểm soát đầu vào và xác thực trên firmware của bộ định tuyến.
CVE-2025-52905: Lỗi Argument Injection Thông Qua Tham Số topicurl
Giao diện web trung tâm của firmware, có thể truy cập qua endpoint /cgi-bin/cstecgi.cgi, đóng vai trò là điểm xử lý chính cho các đầu vào người dùng. Cụ thể, nó dựa vào tham số topicurl để định tuyến và thực thi các chức năng khác nhau.
**CVE-2025-52905** xuất phát từ một chức năng kiểm tra đầu vào không hoàn chỉnh. Chức năng này được thiết kế để chặn các ký tự nguy hiểm nhưng lại bỏ sót dấu gạch nối (–).
Sự sơ suất này cho phép các payload độc hại vượt qua cơ chế lọc hiện có. Kẻ tấn công có thể gửi các yêu cầu được tạo sẵn để chèn đối số (arguments) vào các lệnh gọi hệ thống.
Hành động này có thể gây ra hiện tượng treo thiết bị (device crash) hoặc chuyển hướng các hoạt động tới các máy chủ bên ngoài do kẻ tấn công kiểm soát. Việc khai thác chỉ yêu cầu quyền truy cập mạng vào giao diện web của bộ định tuyến (web UI).
Điều này làm cho các cuộc tấn công quét hàng loạt và tự động trở nên dễ dàng đối với các tác nhân đe dọa. Đây là một **lỗ hổng TOTOLINK X6000R** cần được khắc phục khẩn cấp.
CVE-2025-52906: Lỗi Command Injection Không Cần Xác Thực
**CVE-2025-52906** tồn tại trong hàm setEasyMeshAgentCfg, chức năng này được dùng để cấu hình các thiết lập của tác nhân Mesh. Hàm này không thực hiện vệ sinh (sanitize) tham số agentName một cách đầy đủ.
Điều này cho phép kẻ tấn công không cần xác thực chèn các lệnh shell tùy ý. Khi các lệnh này được thực thi bởi tiến trình máy chủ web, chúng sẽ chạy với quyền hạn cao (elevated privileges).
Khai thác thành công **lỗ hổng TOTOLINK X6000R** này có thể cho phép cài đặt mã độc dai dẳng, chặn lưu lượng mạng hoặc mở rộng tấn công sang các thiết bị khác trong môi trường người dùng.
Đây là một sai sót nghiêm trọng trong việc kiểm soát đầu vào và xác thực, tạo ra nguy cơ bảo mật đáng kể cho hệ thống.
CVE-2025-52907: Nguy cơ Remote Code Execution qua Bypass Bảo Mật
**CVE-2025-52907** tận dụng cùng một logic vệ sinh lỗi tương tự trong hàm setWizardCfg. Bằng cách tạo ra các đầu vào đặc biệt để tránh danh sách chặn (blocklist) của hệ thống, kẻ tấn công có thể thực hiện ghi tệp tùy ý (arbitrary file writes).
Các tệp hệ thống quan trọng như /etc/passwd có thể bị sửa đổi để thêm các tài khoản người dùng mới. Đồng thời, các script khởi động (boot scripts) cũng có thể bị thay đổi để đảm bảo **remote code execution** được thực thi ngay sau khi khởi động lại.
Chuỗi khai thác này cho phép kiểm soát liên tục và dai dẳng bộ định tuyến, làm suy yếu bất kỳ vành đai bảo mật mạng nào. Các **lỗ hổng TOTOLINK X6000R** này đã được báo cáo chi tiết bởi Palo Alto Networks, nhấn mạnh tầm quan trọng của việc kiểm tra đầu vào nghiêm ngặt trong firmware IoT. Tham khảo phân tích chi tiết tại Palo Alto Networks Unit 42.
Khuyến Nghị và Biện Pháp Khắc Phục Lỗ Hổng TOTOLINK X6000R
Bộ định tuyến gia đình thường là cổng kết nối đến tất cả các thiết bị trong mạng, do đó, các **lỗ hổng TOTOLINK X6000R** này đặt ra nguy cơ lớn. Chúng một lần nữa nhấn mạnh sự cần thiết của việc kiểm tra đầu vào một cách chặt chẽ trong firmware của các thiết bị IoT.
Người dùng bộ định tuyến TOTOLINK X6000R phải cập nhật lên phiên bản firmware V9.4.0cu.1498_B20250826 mà không chậm trễ. Đây là **bản vá bảo mật** thiết yếu để loại bỏ các nguy cơ đã được mô tả.
Việc duy trì firmware cập nhật và triển khai giám sát mạng mạnh mẽ là những biện pháp không thể thiếu để bảo vệ chống lại các mối đe dọa IoT mới nổi. Đảm bảo các **lỗ hổng TOTOLINK X6000R** này được vá kịp thời là trách nhiệm của mỗi người dùng.
Hành động nhanh chóng trong việc áp dụng **bản vá bảo mật** sẽ giúp giảm thiểu rủi ro và bảo vệ hệ thống mạng khỏi bị xâm nhập trái phép và **remote code execution**.
