PoC Available: TP-Link Archer AX50 Flaw Allows Remote Root Access
2025/05/21 SecurityOnline — TP-Link の Archer AX50 ルーターに発見された脆弱性は、その悪用に成功したリモート攻撃者に対して、LAN/WAN インターフェイス経由での任意のコード実行をゆるす可能性のあるものだ。この脆弱性 CVE-2025-40634 (CVSS v4:9.2) は、家庭/企業のネットワークに深刻なリスクをもたらす。
DNS クエリを送信してインターネット接続を確認する、conn-indicator というファームウェアのコンポーネントに、脆弱性 CVE-2025-40634 は存在する。この脆弱性は、セキュリティ研究者の Victor Fresco Perales (@hacefresko) により発見され、INCIBE により報告されたものだ。
INCIBE のアドバイザリでは、「TP-Link Archer AX50 ルーターでルート権限で実行される conn-indicator バイナリに、 スタックバッファ・オーバーフロー脆弱性 CVE-2025-40634 が存在することが判明した。この脆弱性の悪用に成功した攻撃者は、LAN/WAN ネットワークを経由し、デバイス上で任意のコード実行の可能性を得る」と説明されている。
この脆弱性が影響を及ぼす範囲は、ファームウェア・バージョン 1.0.15 build 241203 rel61480 未満となる。
この脆弱性は、DNS レスポンス・パケットの解析方法における、スタックバッファ・オーバーフローに起因する。具体的に言うと、DNS_answer_parser () 関数は、DNS レスポンスを処理する際に、ドメイン名セグメントを 256バイトの固定サイズ・バッファ “current_answer” にコピーする。つまり、長大なドメイン名に関する問題を抱えていることになる。
この脆弱性について Perales は、「したがって、バッファをオーバーフローさせるだけの、十分な長さのドメイン名を取り込んだレスポンス・パケットが、攻撃者により送信される可能性がある」と詳述している。
その仕組みは以下のとおりだ:
- DNS レスポンスには、
example.comなどのドメイン名が、7example3comのような形式でエンコードされて取り込まれる。 - 各部分が
current_answerにコピーされる際、長さの検証が適切に行われない。 - その結果として、ドメイン名が256バイトを超えるとバッファ・オーバーフローが発生し、メモリが上書きされる可能性がある。最悪の場合、root権限でのリモートコード実行に繋がる恐れがある。
すでに、この脆弱性に対する PoC エクスプロイトが GitHub で公開されており、デバイスへのパッチが適用されていない場合には、大規模な悪用に至る恐れがある。
すでに TP-Link は、この脆弱性を修正するファームウェア・バージョン 1.0.15 build 241203 rel61480 をリリースしている。ユーザーに強く推奨されるのは、ルーターの管理インターフェイスまたは TP-Link の公式サイトから、最新のファームウェアを取得し、速やかにアップデートすることだ。
TP-Link ですが、今年に入ってからは、月イチくらいのペースで脆弱性が公表されるという感じです。前回の関連記事は、2025/04/23 の「TP-Link WR841N Router の脆弱性 CVE-2025-25427 が FIX:蓄積型 XSS と管理者パスワード窃取の恐れ」です。よろしければ、TP-Link で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.