В Банке данных угроз безопасности информации (BDU) ФСТЭК России появились записи о двух критических уязвимостях, затрагивающих маршрутизаторы TOTOLINK модели A7100RU. Обе проблемы получили идентификаторы BDU:2026-07591 и BDU:2026-07592, а также международные коды CVE-2026-6155 и CVE-2026-6132 соответственно. Поскольку производитель пока не выпустил обновлений, а эксплойты уже выложены в открытый доступ, владельцам этих устройств стоит как можно быстрее принять меры защиты.
Детали уязвимостей
Речь идет о домашних и офисных маршрутизаторах TOTOLINK A7100RU с версией прошивки 7.4cu.2313_B20191024. Исследовательский отчет опубликован на GitHub, и любой желающий может скачать готовый код для атаки. Уязвимости относятся к классу внедрения команд (command injection) - это одна из самых опасных категорий ошибок в программном обеспечении сетевых устройств. Отсутствие проверки входных данных позволяет злоумышленнику, действующему удаленно, отправить на маршрутизатор специально сформированный HTTP-запрос и выполнить на нем произвольные команды операционной системы.
Первая уязвимость (BDU:2026-07591) связана с функцией setWanCfg() в скрипте cgi-bin/cstecgi.cgi. Эта функция отвечает за настройку подключения к сети интернет - WAN. Вторая уязвимость (BDU:2026-07592) аналогична, но ошибка кроется в функции setLedCfg(), которая управляет индикаторами на корпусе маршрутизатора. Обе функции принимают данные от пользователя без какой-либо фильтрации и затем передают их в системный вызов. В терминах классификации CWE такие ошибки описываются как CWE-77 и CWE-78 - непринятие мер по нейтрализации специальных элементов, используемых в команде операционной системы. Проще говоря, злоумышленник может дописать в обычный параметр запроса команду, например, для запуска произвольной программы или чтения файлов.
Разработчики стандарта CVSS присвоили обеим уязвимостям почти максимальные баллы. По версии CVSS 2.0 - 10 из 10, по версии CVSS 3.1 - 9,8 из 10, по версии CVSS 4.0 - 8,9 из 10. Такие оценки означают, что атака не требует никаких привилегий на устройстве (PR:N), не требует участия пользователя (UI:N) и возможна через сеть (AV:N). Кроме того, уязвимость критически влияет на конфиденциальность, целостность и доступность данных (C:H/I:H/A:H). Простыми словами: любой человек, который может отправить HTTP-запрос к маршрутизатору (например, из интернета, если устройство доступно напрямую), получает полный контроль над ним - может читать трафик, менять настройки и перехватывать управление.
Согласно записям в BDU, статус наличия эксплойта указан как "существует в открытом доступе". Это тревожный сигнал. Код для эксплуатации может быть использован не только исследователями, но и злоумышленниками. Нередко такие уязвимости становятся основой для ботнетов - сетей из взломанных устройств, которые используют для DDoS-атак или майнинга криптовалют. Учитывая, что маршрутизаторы TOTOLINK довольно популярны на российском рынке, число потенциально подверженных атаке устройств может быть значительным.
Если злоумышленник получит доступ к маршрутизатору, он сможет изменить DNS-настройки, перенаправляя пользователей на фишинговые сайты, перехватывать незашифрованный трафик или внедрять вредоносное ПО в прошивку. Для небольших компаний, использующих такие маршрутизаторы для доступа в интернет, это может означать утечку коммерческой информации или потерю контроля над сетью. Для домашних пользователей - компрометацию всех устройств, подключенных к маршрутизатору, включая компьютеры, смартфоны и системы умного дома. Более того, возможна ситуация, когда маршрутизатор становится ретранслятором для атак на другие сети внутри провайдера.
Производитель пока не предоставил официального обновления прошивки, а способ устранения помечен как "данные уточняются". Поэтому до выхода заплатки необходимо применить компенсирующие меры. Прежде всего, стоит ограничить доступ к панели управления маршрутизатором из внешних сетей. Многие провайдеры по умолчанию блокируют входящие соединения, но если вы сами открывали порт для удаленного управления, его лучше отключить. Также рекомендуется отключить использование незащищенных протоколов, таких как HTTP и Telnet, а если без них не обойтись - перевести управление на HTTPS. Дополнительно можно сегментировать сеть, поместив уязвимый маршрутизатор в отдельный VLAN и настроить межсетевой экран, блокирующий доступ к порту 80 из интернета. Системы обнаружения вторжений (IDS) помогут выявить попытки эксплуатации, но они не защитят от атаки, если злоумышленник уже проник в локальную сеть. Оптимальный вариант - временно заменить маршрутизатор на другую модель или использовать VPN для всех внешних подключений.
Две критические уязвимости в прошивке TOTOLINK A7100RU - яркий пример того, как одна недосмотренная строка кода может поставить под угрозу тысячи устройств. Поскольку эксплойты уже доступны, а производитель молчит, единственный способ защититься - действовать на опережение. Пока вендор не выпустит патч, любой маршрутизатор этой модели следует считать потенциально скомпрометированным и изолировать от внешнего мира. Рекомендуется также подписаться на обновления от TOTOLINK и проверять страницу поддержки устройства хотя бы раз в неделю. История учит, что инциденты, подобные этому, обычно заканчиваются массовыми заражениями в течение двух-трех месяцев после публикации эксплойта. Не стоит ждать, пока злоумышленники атакуют первыми.
Ссылки
- https://bdu.fstec.ru/vul/2026-07591
- https://bdu.fstec.ru/vul/2026-07592
- https://www.cve.org/CVERecord?id=CVE-2026-6155
- https://www.cve.org/CVERecord?id=CVE-2026-6132
- https://github.com/Litengzheng/vuldb_new/blob/main/A7100RU/vul_196/README.md
- https://github.com/Litengzheng/vuldb_new/blob/main/A7100RU/vul_183/README.md
