📄 الوصف (الإنجليزية)
A vulnerability was identified in Linksys MR9600 2.0.6.206937. This affects the function BTRequestGetSmartConnectStatus of the file /etc/init.d/run_central2.sh of the component JNAP Action Handler. The manipulation of the argument pin leads to os command injection. The attack may be initiated remotely. The exploit is publicly available and might be used. The vendor was contacted early about this disclosure but did not respond in any way.
🤖 ملخص AI
A critical OS command injection vulnerability exists in Linksys MR9600 firmware version 2.0.6.206937 affecting the JNAP Action Handler. The vulnerability allows remote attackers to execute arbitrary commands through the 'pin' parameter in the BTRequestGetSmartConnectStatus function. With public exploits available and no vendor patch forthcoming, this poses an immediate threat to organizations using this router model.
📄 الوصف (العربية)
🤖 التحليل الذكي آخر تحليل: May 8, 2026 13:54
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability poses significant risk to Saudi organizations, particularly: (1) Banking sector and SAMA-regulated institutions using Linksys MR9600 for network infrastructure; (2) Government agencies and NCA-monitored entities relying on this router for secure communications; (3) Telecommunications providers (STC, Mobily, Zain) using this equipment in network deployments; (4) Healthcare facilities under SEHA oversight; (5) Energy sector organizations including ARAMCO subsidiaries. Remote command execution could lead to network compromise, data exfiltration, lateral movement, and disruption of critical services.
🏢 القطاعات السعودية المتأثرة
Banking and Financial Services
Government and Public Administration
Telecommunications
Healthcare
Energy and Utilities
Critical Infrastructure
🎯 تقنيات MITRE ATT&CK
⚖️ درجة المخاطر السعودية (AI)
8.7
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Identify all Linksys MR9600 devices running firmware 2.0.6.206937 in your network using asset inventory tools
2. Isolate affected devices from critical network segments if possible
3. Implement network segmentation to restrict access to the JNAP interface (typically port 8080)
4. Monitor for suspicious activity on affected devices
COMPENSATING CONTROLS (No patch available):
1. Disable remote management features on the router if not required
2. Restrict access to the JNAP interface using firewall rules - block external access to ports 8080/8443
3. Implement network-based IDS/IPS rules to detect command injection attempts in JNAP requests
4. Deploy WAF rules to filter malicious 'pin' parameter values containing shell metacharacters (|, ;, &, $, `, etc.)
5. Change default credentials and implement strong authentication
6. Monitor router logs for BTRequestGetSmartConnectStatus function calls with suspicious parameters
DETECTION RULES:
- Alert on HTTP requests to /etc/init.d/run_central2.sh containing 'BTRequestGetSmartConnectStatus'
- Flag 'pin' parameters containing: pipe (|), semicolon (;), ampersand (&), backtick (`), dollar sign ($), command substitution $()
- Monitor for unusual process execution originating from router processes
- Track failed authentication attempts to JNAP interface
LONG-TERM:
1. Plan migration to alternative router models with active vendor support
2. Evaluate firmware alternatives if available from third-party sources
3. Maintain continuous monitoring until devices are replaced
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تحديد جميع أجهزة Linksys MR9600 التي تعمل بالإصدار 2.0.6.206937 في شبكتك باستخدام أدوات جرد الأصول
2. عزل الأجهزة المتأثرة عن قطاعات الشبكة الحرجة إن أمكن
3. تطبيق تقسيم الشبكة لتقييد الوصول إلى واجهة JNAP (عادة المنفذ 8080)
4. مراقبة النشاط المريب على الأجهزة المتأثرة
الضوابط البديلة (لا يوجد تصحيح متاح):
1. تعطيل ميزات الإدارة البعيدة على جهاز التوجيه إذا لم تكن مطلوبة
2. تقييد الوصول إلى واجهة JNAP باستخدام قواعد جدار الحماية - حظر الوصول الخارجي إلى المنافذ 8080/8443
3. تطبيق قواعد IDS/IPS على مستوى الشبكة للكشف عن محاولات حقن الأوامر في طلبات JNAP
4. نشر قواعد WAF لتصفية قيم معامل 'pin' الضارة التي تحتوي على أحرف shell (|، ;، &، $، `، إلخ)
5. تغيير بيانات الاعتماد الافتراضية وتطبيق المصادقة القوية
6. مراقبة سجلات جهاز التوجيه لاستدعاءات دالة BTRequestGetSmartConnectStatus بمعاملات مريبة
قواعد الكشف:
- تنبيه على طلبات HTTP إلى /etc/init.d/run_central2.sh تحتوي على 'BTRequestGetSmartConnectStatus'
- وضع علامة على معاملات 'pin' التي تحتوي على: الأنبوب (|)، الفاصلة المنقوطة (;)، العلامة (&)، علامة الخطر الخلفية (`)، علامة الدولار ($)، استبدال الأوامر $()
- مراقبة تنفيذ العمليات غير العادية من عمليات جهاز التوجيه
- تتبع محاولات المصادقة الفاشلة على واجهة JNAP
المدى الطويل:
1. التخطيط للهجرة إلى نماذج أجهزة توجيه بديلة مع دعم البائع النشط
2. تقييم بدائل البرامج الثابتة إذا كانت متاحة من مصادر خارجية
3. الحفاظ على المراقبة المستمرة حتى يتم استبدال الأجهزة
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.5.1.1 - Information Security Policies and Procedures
A.8.1.1 - User Access Management
A.12.2.1 - Change Management
A.12.6.1 - Management of Technical Vulnerabilities
A.13.1.1 - Network Security Perimeter
🔵 SAMA CSF
ID.RA-1 - Asset Management and Inventory
PR.AC-1 - Access Control and Authentication
PR.PT-1 - Protective Technology Implementation
DE.CM-1 - Detection and Analysis
RS.RP-1 - Response Planning
🟡 ISO 27001:2022
A.5.1 - Management Direction
A.8.1 - User Access Management
A.12.2 - Change Management
A.12.6 - Management of Technical Vulnerabilities
A.13.1 - Network Security Perimeter
🟣 PCI DSS v4.0.1
Requirement 1.1 - Firewall Configuration Standards
Requirement 2.1 - Default Security Parameters
Requirement 6.2 - Security Patches and Updates
🔗 المراجع والمصادر 5
🔗
https://github.com/utmost3/cve/issues/2
cna@vuldb.com
Exploit
Third Party Advisory
Issue Tracking
🔗
https://vuldb.com/submit/797086
cna@vuldb.com
Third Party Advisory
VDB Entry
🔗
https://vuldb.com/vuln/359544
cna@vuldb.com
Third Party Advisory
VDB Entry
🔗
https://vuldb.com/vuln/359544/cti
cna@vuldb.com
Permissions Required
VDB Entry
🔗
https://www.linksys.com/
cna@vuldb.com
Product
📦 المنتجات المتأثرة 1 منتج
linksys:mr9600_firmware:2.0.6.206937