CVE-2025-65606 w TOTOLINK EX200: błąd aktualizacji firmware uruchamia niezabezpieczony Telnet (root) i umożliwia przejęcie urządzenia - Security Bez Tabu

CVE-2025-65606 w TOTOLINK EX200: błąd aktualizacji firmware uruchamia niezabezpieczony Telnet (root) i umożliwia przejęcie urządzenia

Wprowadzenie do problemu / definicja luki

CERT/CC opublikował 6 stycznia 2026 r. notę o luce w wygaszanym (EoL) wzmacniaczu Wi-Fi TOTOLINK EX200, oznaczonej jako CVE-2025-65606. Problem dotyczy obsługi błędów podczas wgrywania firmware: w określonych warunkach urządzenie potrafi uruchomić usługę Telnet z uprawnieniami roota bez uwierzytelniania, co kończy się pełnym przejęciem sprzętu.

W skrócie

  • Co się dzieje? Błąd w logice obsługi błędów „firmware upload” potrafi przełączyć urządzenie w nieprawidłowy stan i włączyć Telnet (root) bez hasła.
  • Wymagania ataku: atakujący musi mieć uwierzytelniony dostęp do panelu WWW (żeby wywołać mechanizm uploadu).
  • Czy jest łatka? CERT/CC wskazuje, że brak aktualizacji rozwiązującej problem, a produkt jest nieutrzymywany.

Kontekst / historia / powiązania

TOTOLINK EX200 jest urządzeniem klasy SOHO/consumer, które w wielu sieciach bywa instalowane „pomocniczo”, często bez centralnego nadzoru. CERT/CC podkreśla, że dotyczy to firmware EoL, a SecurityWeek zauważa, że EX200 jest „discontinued” oraz że ostatnie aktualizacje firmware były publikowane w latach 2021 i 2023 (zależnie od rewizji sprzętowej).
Z perspektywy obrony ważne jest to, że „dodatkowe” elementy infrastruktury (repeatery/extender’y) często lądują poza standardowym procesem patch managementu, a to czyni je atrakcyjnym punktem zaczepienia.

Analiza techniczna / szczegóły luki

Mechanizm wygląda następująco (w ujęciu wysokopoziomowym, bez instrukcji ofensywnych):

  1. Atakujący, mając dostęp do panelu WWW, korzysta z funkcji wgrywania firmware.
  2. Urządzenie przetwarza „nietypowy / uszkodzony” plik i wpada w tzw. abnormal error state.
  3. W tym stanie EX200 uruchamia Telnet działający z uprawnieniami root i – kluczowo – bez wymogu uwierzytelnienia (interfejs Telnet normalnie jest wyłączony).

Efekt: nawet jeśli sam atak wymaga „wejścia” do panelu WWW, to po wyzwoleniu błędu pojawia się niezamierzony kanał administracyjny o maksymalnych uprawnieniach.

Praktyczne konsekwencje / ryzyko

Pełne przejęcie urządzenia sieciowego (extender) to zwykle więcej niż „tylko” zmiana ustawień:

  • Manipulacja konfiguracją (DNS, routing, przekierowania), co może umożliwiać phishing „w locie” lub podstawienie ruchu.
  • Wykonywanie poleceń i utrzymanie persistence na urządzeniu, a następnie ruch boczny do innych hostów w LAN.
  • Punkt obserwacyjny: urządzenie stojące „blisko użytkownika” bywa świetnym miejscem do podsłuchu/metadanych (zwłaszcza w słabiej segmentowanych sieciach).

W praktyce, jeśli panel WWW był wystawiony do sieci nieufnej (albo hasło admina jest słabe / domyślne), próg wejścia dla atakującego znacząco spada — a skutki są „jak po RCE na routerze”.

Rekomendacje operacyjne / co zrobić teraz

Ponieważ według CERT/CC nie ma poprawki, trzeba podejść do tematu jak do ryzyka „produkt EoL”: redukcja ekspozycji + plan wymiany.

1) Natychmiastowe ograniczenie powierzchni ataku

  • Ogranicz dostęp do panelu administracyjnego wyłącznie do zaufanej podsieci/VLAN (np. tylko z hosta zarządzającego).
  • Zablokuj na firewallu ruch do portu 23/TCP (Telnet) do/od adresu IP urządzenia – przynajmniej na granicy segmentu, w którym stoi EX200.
  • Jeśli urządzenie ma opcję wyłączenia zdalnego zarządzania – wyłącz.

2) Monitoring i wykrywanie

  • Przeskanuj sieć wewnętrzną pod kątem otwartego Telnetu na urządzeniach sieciowych (szczególnie: IP extendera).
  • Ustaw alerty na:
    • nietypowe połączenia do portu 23,
    • nowe/nieznane połączenia wychodzące z podsieci IoT/Network Gear.

3) Higiena dostępu

  • Zmień hasła administracyjne na silne i unikalne (jeśli jeszcze urządzenie jest używane).
  • Zdejmij urządzenie z „wspólnego” Wi-Fi dla gości / niezarządzanych endpointów.

4) Docelowo: wymiana

  • CERT/CC wprost rekomenduje zaplanowanie wymiany urządzenia na model wspierany.
    To najważniejszy punkt: jeżeli sprzęt jest EoL i nie będzie łatek, ryzyko będzie tylko rosło.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Ten przypadek jest ciekawy, bo nie jest to „klasyczne” RCE z internetu bez logowania — start wymaga zalogowania do WWW. Ale po wyzwoleniu błędu skutki są „jak przy backdoorze”: pojawia się root-Telnet bez hasła, czyli mechanizm, który w wielu środowiskach natychmiast klasyfikuje urządzenie jako niezdatne do dalszej eksploatacji.
To też podręcznikowy przykład, dlaczego sprzęt EoL w warstwie sieciowej jest trudny do „zaakceptowania” ryzykiem, nawet gdy stoi głęboko w LAN.

Podsumowanie / kluczowe wnioski

  • CVE-2025-65606 w TOTOLINK EX200 pozwala doprowadzić do uruchomienia nieautoryzowanego Telnetu z rootem po wejściu w błąd podczas uploadu firmware.
  • Atak wymaga dostępu do panelu WWW, ale efekt końcowy oznacza pełną kontrolę nad urządzeniem i potencjalny pivot do sieci lokalnej.
  • Ponieważ produkt jest EoL i brak patcha, najlepszą strategią jest izolacja + monitoring + wymiana.

Źródła / bibliografia

  • CERT/CC Vulnerability Note VU#295169 (CVE-2025-65606) (kb.cert.org)
  • SecurityWeek: Vulnerability in Totolink Range Extender Allows Device Takeover (SecurityWeek)
  • The Hacker News: Unpatched Firmware Flaw Exposes TOTOLINK EX200 to Full Remote Device Takeover (The Hacker News)