D-Link のゼロクリック脆弱性 CVE-2025-7206:DoS の可能性に No Patch/Yes PoC

Critical D-Link 0-click Vulnerability Allows Remote Attackers to Crash the Server

2025/07/11 CyberSecurityNews — D-Link 製のルーター DIR-825 (バージョン Rev.B 2.10) に、スタック・バッファオーバーフローの脆弱性が発見された。この脆弱性を悪用する攻撃者は、認証やユーザー操作を必要とすることなく、リモートから HTTP サーバをクラッシュさせる可能性を手にする。この、ルーターの httpd バイナリに存在する脆弱性 CVE-2025-7206 は、switch_language.cgi エンドポイントで使用される、language パラメータの不適切な処理に起因する。

この脆弱性の悪用においては、認証もユーザー操作も不要であり、標的デバイスの管理インターフェイスに対して、ネットワーク経由でアクセスできる攻撃者であれば、DoS (サービス拒否) 状態を引き起こせるという。

主なポイント
  1. DIR-825 Rev.B 2.10 における認証不要のスタック・オーバーフロー脆弱性により、HTTP サーバーがクラッシュする。
  2. switch_language.cgi に渡された NVRAM 内の言語パラメーターが過大であることで、オーバーフローが発生する。
  3. このゼロクリック脆弱性により DoS が生じ、VPN/ゲスト Wi-Fi/IoT デバイス管理に障害が発生する恐れがある。
  4. 推奨される緩和策は、ファームウェア・パッチの適用/Web UI アクセスの制限/異常な長さの言語投稿の監視などである。
脆弱性 CVE-2025-7206 の詳細

セキュリティ研究者 iC0rner によると、この脆弱性は httpd 実行ファイル内の sub_410DDC 関数に存在し、攻撃者が制御する悪意のデータに対して、入力の長さチェックを行わずに、ダイレクトに受け取ってしまう状況を生み出しているという。

具体的にいうと、HTTP POST リクエストが switch_language.cgi に送信されると、language パラメータが NVRAM に永続的に保存されてしまう。

この保存は、サニタイズ処理が行われる前に発生するため、悪意の長い文字列により、ローカル・スタック・フレームにオーバーフローの可能性が生じる:

オーバーフローした NVRAM エントリが保存されると、その後の、フロントエンド ASP ページ (例:login.asp) へのリクエストが、対応する言語の JavaScript ファイルの動的読み込みをトリガーする。このページには、以下の内容が含まれる:

このパースの後に、httpd は do_ebd_js パスへと入り、最終的に nvram_get(“language”) を呼び出す。

そこで返される文字列は、複雑な内部関数 (sub_40bFC4) の連鎖を通過し、別の安全が確保されない連結により、想定されるバッファの範囲外へと書き込まれる。その結果として、セグメンテーション違反が引き起こされ、サービス・クラッシュへといたる。

Risk FactorsDetails
Affected ProductsD-Link DIR-825 Rev.B 2.10
ImpactStack-based buffer overflow
Exploit PrerequisitesNetwork access to router’s web management interface (typically port 80/443); no authentication required
CVSS 3.1 Score9.8 (Critical)
PoC エクスプロイト

以下の PoC エクスプロイトが示すのは、2ステップでクラッシュが発生することである。まず、switch_language.cgi 経由で言語値を過剰に設定する:

続いて、任意の ASP ページへの単純な GET リクエストにより、オーバーフローを引き起こされる:

過剰に長い NVRAM エントリが、sub_40bFC4 においてスタックを破損するため、認証やユーザー操作を用いること無く、httpd プロセスがクラッシュしてしまう。

推奨される緩和策

VPN ターミナル/ゲスト・ネットワーク/IoT 機器分離などで、DIR-825 Rev.B 2.10 を使用する組織に対しては、以下の緩和策が推奨される:

  • ファームウェア・アップデートの適用:language パラメータに対する入力バリデーションや、sub_40bFC4 関数内の境界チェックが強化された、修正済みのファームウェアが D-Link から提供され次第、速やかに適用する。
  • ネットワーク・アクセス制御:信頼できないネットワークまたはインターネット全体からの、ルーターの Web 管理インターフェイスへのアクセスをブロックする。
  • 侵入検知と監視:switch_language.cgi への異常な長さの言語値を取り込む、不正な HTTP POST リクエストを監視し、ファイアウォールで検知/阻止する。

これらの対応を実施することで、脆弱性 CVE-2025-7206 に対する防御を強化し、ネットワークの信頼性を高めることができる。

D-Link のルーターに発見された脆弱性 CVE-2025-7206 は、認証を必要とせずに攻撃が可能という、きわめて危険なものです。また、パッチがリリースされない状況で、PoC が提供されたことで、さらに危険度が増しています。ご利用のチームは、十分に ご注意ください。よろしければ、D-Link で検索も、ご参照ください。