В российский Банк данных угроз (BDU) внесена новая критическая уязвимость, затрагивающая популярные маршрутизаторы Wavlink. Идентификатор BDU:2026-00816, также известный как CVE-2025-50756, представляет собой недостаток в функции "set_sys_adm()" микропрограммного обеспечения. Конкретно, проблема связана с отсутствием необходимой очистки входных данных при обработке параметра "newpass". В результате, злоумышленник, действующий удаленно без аутентификации, может внедрить и выполнить произвольные команды на уязвимом устройстве.
Детали уязвимости
Уязвимость классифицируется как "внедрение команд" (CWE-77). Она затрагивает модель маршрутизатора Wavlink WL-WN530H4 с версией микропрограммы 20191010. Примечательно, что похожая модель WN535K3 также указана в отчете, что может свидетельствовать о более широком круге потенциально затронутых устройств. На данный момент точный список всех уязвимых продуктов и платформ уточняется.
Уровень опасности этой уязвимости оценивается как критический по обеим основным шкалам. Базовая оценка по CVSS 2.0 составляет максимальные 10.0 баллов. По более современной CVSS 3.1 оценка лишь немногим ниже - 9.8 баллов. Такие высокие показатели обусловлены тем, что для эксплуатации не требуются ни специальные условия, ни привилегии, ни взаимодействие с пользователем. Более того, успешная атака позволяет злоумышленнику получить полный контроль над устройством, что подразумевает компрометацию конфиденциальности, целостности и доступности.
Эксперты особенно подчеркивают, что в открытом доступе уже существует рабочий эксплойт, подробно описанный на платформе GitHub. Это существенно повышает актуальность угрозы, так как снижает порог входа для киберпреступников. Они могут использовать данную уязвимость для создания ботнетов, организации атак типа "Man-in-the-Middle", кражи данных или для получения точки опоры внутри корпоративной сети с целью последующего горизонтального перемещения.
К сожалению, на момент публикации новости способ устранения уязвимости от вендора WAVLINK TECHNOLOGY Ltd. все еще уточняется. Неизвестны ни сроки выхода патча, ни версии микропрограмм, в которых проблема будет исправлена. В связи с этим, первостепенное значение приобретают компенсирующие меры, рекомендованные в карточке BDU.
Прежде всего, необходимо строго ограничить или полностью запретить доступ к веб-интерфейсам таких маршрутизаторов из внешних сетей. Крайне важно отключить небезопасные протоколы удаленного управления, такие как HTTP и Telnet. Использование межсетевых экранов для фильтрации входящего трафика и сегментация сети помогут изолировать потенциально уязвимые устройства и минимизировать возможный ущерб.
Дополнительно, специалисты рекомендуют применять системы обнаружения и предотвращения вторжений (IDS/IPS). Эти системы могут быть настроены на выявление сигнатур, связанных с попытками эксплуатации подобных уязвимостей. Для легитимного удаленного администрирования следует использовать защищенные каналы связи, например, виртуальные частные сети (VPN). Наконец, соблюдение строгой парольной политики для доступа к самим устройствам остается базовой, но важной мерой безопасности.
Данный инцидент в очередной раз демонстрирует риски, связанные с использованием интернет-устройств, особенно в сегменте SOHO и малого бизнеса. Часто такие девайсы остаются без своевременных обновлений на протяжении многих лет. Специалисты по кибербезопасности призывают администраторов сетей провести инвентаризацию, выявить устройства Wavlink указанных моделей и незамедлительно применить все доступные компенсирующие меры. Мониторинг официальных источников вендора на предмет выхода обновлений также является обязательным. Поскольку уязвимость уже публична и имеет критический статус, можно ожидать роста числа попыток ее эксплуатации в ближайшее время.
Ссылки
- https://bdu.fstec.ru/vul/2026-00816
- https://www.cve.org/CVERecord?id=CVE-2025-50756
- https://github.com/Summermu/VulnForIoT/blob/main/Wavlink_WN535K3/set_sys_adm_newpass/readme.md
