В мире кибербезопасности события развиваются стремительно, и даже проверенные инструменты, на которые полагаются миллионы пользователей, могут стать источником серьёзной угрозы. На этой неделе сообщество специалистов по информационной безопасности было взволновано новостью о критической уязвимости в AdGuard Home - популярном программном обеспечении для блокировки рекламы и трекеров на уровне всей сети. Эта проблема, получившая идентификатор CVE-2026-32136, была оценена по шкале CVSS на максимальные 9,8 балла из 10, что автоматически относит её к категории чрезвычайно опасных. Уязвимость позволяла удалённому злоумышленнику, не проходя аутентификацию, полностью обойти механизмы входа в систему и получить полные административные привилегии над устройством, где развёрнуто решение. Для понимания масштаба: подобный доступ эквивалентен тому, как если бы взломщик получил физические ключи от серверной стойки, не зная кода от замка.
Уязвимость CVE-2026-32136
Обнаружение и оперативное устранение этой бреши стало примером ответственного подхода к раскрытию уязвимостей. Проблему выявил и сообщил разработчикам независимый исследователь безопасности, известный под псевдонимом mandreko. Команда AdGuard, получив отчёт, незамедлительно подтвердила критичность находки и приступила к разработке исправления. Результатом их срочной работы стал выпуск экстренного обновления - версии 0.107.73, призванной защитить пользователей до того, как киберпреступники начнут массовую эксплуатацию уязвимости. Такой скоординированный процесс, когда исследователь даёт время на создание патча до публикации деталей, является золотым стандартом в индустрии и помогает минимизировать потенциальный ущерб.
Чтобы понять суть угрозы, необходимо немного углубиться в технические детали. Корень проблемы кроется в том, как неисправленные версии AdGuard Home обрабатывали определённые запросы на обновление сетевого соединения. Атака начинается с того, что злоумышленник отправляет на целевой сервер AdGuard, доступный из сети, стандартный на первый взгляд запрос по протоколу HTTP/1.1. Однако внутри этого запроса содержится специальная команда, которая просит сервер перевести текущее соединение на работу по протоколу HTTP/2 в незашифрованном виде, что часто обозначается термином h2c. После того как сервер принимает это обновление, установленное HTTP/2-соединение передаётся на обработку внутреннему мультиплексору - компоненту, отвечающему за маршрутизацию запросов. Критическая ошибка архитектуры заключалась в том, что этот самый мультиплексор не имел встроенного промежуточного программного обеспечения для проверки подлинности, так называемого authentication middleware. В результате все последующие запросы, отправленные злоумышленником по этому каналу, система автоматически считала легитимными и выполненными от имени администратора, предоставляя полный контроль над настройками DNS, правилами фильтрации и всей конфигурацией.
Последствия успешной эксплуатации такой уязвимости могут быть крайне серьёзными, особенно если учесть, что AdGuard Home часто развёртывается в домашних сетях и малом бизнесе как ключевой элемент защиты приватности. Получив административный доступ, злоумышленник может перенаправить DNS-запросы пользователей на подконтрольные ему серверы. Это открывает путь для фишинговых атак, когда пользователь, набирая адрес реального банка, попадает на идеально подделанную мошенническую страницу. Кроме того, возможна полная остановка службы фильтрации, что лишит сеть защиты от рекламы и трекеров, или тонкая подмена контента на посещаемых сайтах. В корпоративном контексте атака могла бы привести к перехвату конфиденциальных данных или стать первым шагом для более глубокого вторжения во внутреннюю сеть организации.
К счастью, устранение угрозы является чётким и доступным. Разработчики AdGuard исправили уязвимость, внедрив строгие проверки подлинности для всех запросов, прошедших через обновление до h2c. Главная и безотлагательная рекомендация для всех пользователей - немедленно обновить все активные экземпляры AdGuard Home до версии 0.107.73 или более новой. Процесс обновления обычно занимает минуты и может быть выполнен через веб-интерфейс панели управления самого продукта. Однако обновление - лишь часть необходимых мер. Крайне важно проверить конфигурацию сетевого экрана, чтобы гарантировать, что административный веб-интерфейс AdGuard Home (обычно работающий на портах 80 или 3000) не доступен напрямую из публичного интернета. Доступ к нему должен быть строго ограничен доверенными внутренними сетями или осуществляться через защищённые VPN-каналы. В завершение, после обновления, имеет смысл провести аудит логов доступа и текущих правил DNS-фильтрации в системе на предмет любых несанкционированных изменений, которые могли быть внесены в период до установки патча. Этот инцидент лишний раз напоминает, что даже инструменты защиты требуют постоянного внимания и своевременного обслуживания, поскольку их роль в инфраструктуре делает их привлекательной мишенью для атакующих.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-32136
- https://github.com/AdguardTeam/AdGuardHome/releases/tag/v0.107.73
- https://github.com/AdguardTeam/AdGuardHome/security/advisories/GHSA-5fg6-wrq4-w5gh
