深入剖析CVE-2025-14558：FreeBSD IPv6路由通告中的高危RCE漏洞

CVE-2025–14558：FreeBSD中严重的未认证远程代码执行漏洞

CVE-2025–14558 是一个影响使用IPv6路由器请求服务的FreeBSD系统的严重未认证远程代码执行漏洞。

“CVE-2025–14558 是 FreeBSD 的 rtsol(8) 和 rtsold(8) 守护进程中的命令注入漏洞。该漏洞源于对 IPv6 路由器通告消息中域名搜索列表选项的验证不当，该选项在未经清理的情况下被传递给 resolvconf(8) 脚本。本地网络上的攻击者可以通过向 DNSSL 域名字段注入 Shell 元字符来以 root 权限执行任意命令。”

受影响的版本是：FreeBSD 13.x, 14.x, 15.x（2025年12月16日之前的版本）。

我快速下载了一个 FreeBSD 15.0 的虚拟机，这是去年11月发布的版本。

（按回车或点击查看完整尺寸图片）

此命令在目标虚拟机内执行。

在我的实验室中，有两个虚拟机。攻击者虚拟机的 IP 是 192.168.4.30。

此命令在攻击者虚拟机内执行。

目标虚拟机的 IP 是 192.168.4.18。

（按回车或点击查看完整尺寸图片）

此命令在目标虚拟机内执行。

根据 GitHub 上的漏洞利用文档，成功利用需要满足以下条件：

• 与目标具有二层邻接性
• 目标：rtsold 已启用且 ACCEPT_RTADV 启用
• 攻击者：root 权限、Python 3、Scapy

当我使用一个全新安装的 FreeBSD 15.0 复现此 CVE 时，我只启用了 rtsold（默认不启用）。

我运行以下命令来启用 rtsold：

sysrc rtsold_enable="YES"
sysrc rtsold_flags="-i -F em0"
service rtsold start
# em0 是 FreeBSD 虚拟机的接口，您的接口可能不同。

此命令在目标虚拟机内执行。

然后我执行了漏洞利用脚本。如果成功，这将在目标虚拟机中运行 "id" 命令并将输出保存到 /tmp/outfile。

python3 exploit.py -i ens33 -p ‘id > /tmp/out’

此命令在攻击者虚拟机内执行。

此命令在目标虚拟机内执行。

让我们尝试让目标虚拟机执行一个 ping 命令，来回显攻击者的 IP 地址。

python3 exploit.py -i ens33 -p ‘ping 192.168.4.30’

（按回车或点击查看完整尺寸图片）

此命令在攻击者虚拟机内执行。

在运行上述命令之前，先运行 tcpdump 并监控 ICMP 流量。

（按回车或点击查看完整尺寸图片）

这是攻击者虚拟机中的一个独立终端。

上图显示目标主机成功执行了 ping 命令，证实了目标主机既 易受攻击 又 可被利用。

参考资料：

• https://github.com/JohannesLks/CVE-2025-14558
• https://www.exploit-db.com/exploits/52463
• https://github.com/rapid7/metasploit-framework/pull/20798

免责声明：

本博客提供的信息仅用于一般性参考。虽然我始终力求准确，但某些细节可能不准确，提供的列表也可能不完整。鉴于此，我强烈建议在做出任何决定或采取行动之前，依据行业标准文档和官方来源（上文参考部分列出了一些）核实任何关键信息。

此处表达的所有观点均为我个人观点，并不代表我雇主的观点或立场。

CSD0tFqvECLokhw9aBeRqtTv15RNmaHdiNZPviuVo928jJlaselhk65nWD039QZrBHJkGEpbzIM3rmaQYRKar7BlbnQvs13gt/eSlY2RXIU=