Source: Unit 42 (Palo Alto Networks). Les chercheurs décrivent trois vulnérabilités critiques dans le firmware du routeur TOTOLINK X6000R (V9.4.0cu.1360B20241207) permettant à des attaquants non authentifiés d’exécuter des commandes (jusqu’aux privilèges root), d’intercepter le trafic et de manipuler des fichiers système critiques. TOTOLINK a publié un correctif dans le firmware V9.4.0cu.1498B20250826.

Les failles résident dans l’endpoint central du panneau web, /cgi-bin/cstecgi.cgi. • CVE-2025-52905: injection d’arguments due à une liste de blocage incomplète qui ne filtre pas le caractère tiret (-). • CVE-2025-52906: injection de commandes non authentifiée dans la fonction setEasyMeshAgentCfg via le paramètre agentName, permettant l’exécution de commandes avec les privilèges du serveur web. • CVE-2025-52907: contournement de sécurité affectant plusieurs composants, dont setWizardCfg, autorisant des écritures arbitraires de fichiers en contournant les contrôles de validation.

Impact: ces vulnérabilités, toutes exploitables sans authentification, permettent de créer/modifier des fichiers systèmes sensibles (ex. /etc/passwd), d’altérer des scripts de démarrage pour maintenir une persistance, d’intercepter le trafic réseau et de pivoter vers d’autres équipements.

Correctifs et protections: TOTOLINK propose le firmware corrigé V9.4.0cu.1498B20250826. Les clients Palo Alto Networks bénéficient de protections via le NGFW avec Threat Prevention, la Device Security platform, et les capacités Cortex Xpanse/XSIAM ASM.

IOCs et TTPs:

  • IOCs: aucun indicateur de compromission fourni.
  • TTPs: exploitation du point de terminaison web (/cgi-bin/cstecgi.cgi) sans authentification; injection d’arguments (CVE-2025-52905); injection de commandes via setEasyMeshAgentCfg/agentName (CVE-2025-52906); contournement de validation et écriture arbitraire de fichiers via setWizardCfg et autres (CVE-2025-52907); modification de /etc/passwd, altération de scripts de boot, interception de trafic, pivot interne.

Type d’article: publication de recherche et rapport de vulnérabilité visant à divulguer les failles et annoncer la disponibilité du correctif.

🔗 Source originale : https://unit42.paloaltonetworks.com/totolink-x6000r-vulnerabilities/

🖴 Archive : https://web.archive.org/web/20251002074454/https://unit42.paloaltonetworks.com/totolink-x6000r-vulnerabilities/