Các phát hiện gần đây đã chỉ ra một loạt lỗ hổng bảo mật nghiêm trọng trong các thiết bị router không dây D-Link DIR-816 (phiên bản quốc tế), bao gồm cả các lỗi Stack-based Buffer Overflow và OS Command Injection. Những lỗ hổng này có thể cho phép kẻ tấn công kiểm soát hoàn toàn thiết bị từ xa mà không cần xác thực.
Phân tích chi tiết các Lỗ hổng
Sáu lỗ hổng đã được xác định, với bốn trong số đó đạt mức độ CRITICAL và hai đạt mức độ HIGH theo thang điểm CVSS.
Lỗ hổng Stack-based Buffer Overflow
- CVE-2025-5622 (CVSS: 9.8 – CRITICAL)
- CVE-2025-5623 (CVSS: 9.8 – CRITICAL)
- CVE-2025-5624 (CVSS: 9.8 – CRITICAL)
- CVE-2025-5630 (CVSS: 9.8 – CRITICAL)
Các lỗ hổng Stack-based Buffer Overflow này cho phép kẻ tấn công ghi đè lên các vùng bộ nhớ quan trọng của thiết bị. Khi khai thác thành công, hành vi này có thể dẫn đến thực thi mã tùy ý (Remote Code Execution – RCE) và kiểm soát hoàn toàn thiết bị. Đặc điểm đáng chú ý là chúng có thể bị khai thác từ xa và không yêu cầu bất kỳ hình thức xác thực nào, làm tăng đáng kể mức độ rủi ro.
Cơ chế khai thác các lỗi tràn bộ đệm này liên quan đến việc thao túng các đối số được sử dụng trong các tệp cấu hình. Ví dụ, các trường như EmailSMTPPortNumber và các tham số liên quan đến cấu hình Wi-Fi như apcli_mode_5g, apcli_enc_5g, apcli_default_key_5g, nếu được cung cấp với dữ liệu vượt quá kích thước bộ đệm cho phép, có thể gây ra hiện tượng tràn, mở đường cho việc chèn mã độc hại vào bộ nhớ và thực thi nó.
Lỗ hổng OS Command Injection
- CVE-2025-5620 (CVSS: 7.3 – HIGH)
- CVE-2025-5621 (CVSS: 7.3 – HIGH)
Tương tự, các lỗ hổng OS Command Injection cũng cho phép kẻ tấn công chèn và thực thi các lệnh hệ điều hành tùy ý trên thiết bị. Điều này có thể dẫn đến truy cập trái phép và kiểm soát thiết bị một cách hoàn toàn. Giống như các lỗi tràn bộ đệm, những lỗ hổng này cũng có thể bị khai thác từ xa và không đòi hỏi xác thực, tạo ra một vector tấn công mạnh mẽ cho các tác nhân độc hại.
Việc không yêu cầu xác thực là một yếu tố quan trọng, cho phép các cuộc tấn công trở nên nhanh chóng và khó bị phát hiện ngay lập tức bởi các hệ thống bảo mật thông thường vốn dựa vào việc kiểm tra thông tin đăng nhập hoặc các dấu hiệu truy cập bất thường.
Thiết bị và Firmware bị ảnh hưởng
Tất cả các phiên bản phần cứng và firmware của router không dây D-Link DIR-816 (phiên bản không dành cho thị trường Mỹ) đều bị ảnh hưởng bởi những lỗ hổng này. Điều đáng lo ngại là mẫu thiết bị này đã đạt đến giai đoạn End of Life (EOL) và End of Service Life (EOS) từ nhà sản xuất. Điều này có nghĩa là thiết bị sẽ không còn nhận được các bản cập nhật firmware hoặc vá lỗi bảo mật nào từ D-Link, khiến chúng vĩnh viễn dễ bị tổn thương trước các cuộc tấn công khai thác những lỗ hổng đã biết.
Luồng tấn công và Kỹ thuật
Chuỗi tấn công tập trung vào việc khai thác các lỗ hổng Stack-based Buffer Overflows hoặc OS Command Injection để giành quyền thực thi mã từ xa. Sau khi RCE được thiết lập, kẻ tấn công có thể đạt được quyền kiểm soát toàn bộ thiết bị. Khả năng truy cập từ xa và không cần xác thực cho phép kẻ tấn công tiến hành các cuộc tấn công nhanh chóng và âm thầm.
Việc khai thác thành công những lỗ hổng này có thể dẫn đến việc kiểm soát thiết bị một cách lâu dài. Kẻ tấn công có thể duy trì quyền truy cập và nâng cao đặc quyền (privilege escalation) trên hệ thống, cho phép cài đặt phần mềm độc hại, truy cập dữ liệu nhạy cảm hoặc sử dụng thiết bị làm bàn đạp cho các cuộc tấn công tiếp theo vào mạng nội bộ.
Khuyến nghị giảm thiểu rủi ro
Vì D-Link DIR-816 là một thiết bị đã đạt giai đoạn End of Life (EOL) và không còn được D-Link hỗ trợ, không có bản vá lỗi chính thức nào được cung cấp để khắc phục các lỗ hổng này. Do đó, khuyến nghị mạnh mẽ nhất cho người dùng là thay thế thiết bị. Tiếp tục sử dụng các thiết bị EOL/EOS với các lỗ hổng nghiêm trọng đã biết là một rủi ro bảo mật đáng kể cho bất kỳ mạng nào.
Việc thay thế bằng một router hiện đại, được hỗ trợ đầy đủ bởi nhà sản xuất, với các bản vá bảo mật định kỳ, là biện pháp hiệu quả duy nhất để bảo vệ khỏi những mối đe dọa này. Đối với các tổ chức và người dùng cá nhân, việc quản lý vòng đời thiết bị mạng và loại bỏ kịp thời các phần cứng EOL là một phần quan trọng của chiến lược an ninh mạng toàn diện.
