В Банке данных угроз безопасности информации (BDU) появились записи сразу о пяти критических уязвимостях, затрагивающих микропрограммное обеспечение популярных роутеров TOTOLINK A7100RU. Все дефекты объединяет одно: злоумышленник может удалённо выполнить произвольные команды на устройстве, не имея учётных данных. Более того, для каждой из уязвимостей уже существуют общедоступные эксплойты - то есть готовые программы для атаки.
Детали уязвимостей
Ситуация вызывает серьёзную тревогу. Речь идёт о модели A7100RU с версией прошивки 7.4cu.2313_B20191024. Это устройство широко распространено как в домашних, так и в малых офисных сетях. Уязвимости получили идентификаторы BDU:2026-07505 (CVE-2026-5994), BDU:2026-07506 (CVE-2026-5993), BDU:2026-07507 (CVE-2026-5995), BDU:2026-07508 (CVE-2026-5996) и BDU:2026-07509 (CVE-2026-5997). Все они были выявлены 28 апреля 2026 года.
Давайте разберёмся, что конкретно не так с этими маршрутизаторами. Проблема кроется в одном и том же CGI-сценарии "/cgi-bin/cstecgi.cgi". При разработке прошивки инженеры не предусмотрели фильтрацию специальных символов во входных параметрах. В результате атакующий может подмешать к обычному значению параметра команды операционной системы. Эта техника известна как инъекция команд (command injection). Все пять уязвимостей относятся к классу CWE-77 (непринятие мер по чистке данных на управляющем уровне) и CWE-78 (неправильная нейтрализация спецэлементов в команде ОС).
Каждая уязвимость привязана к определённой функции. Первая (BDU:2026-07506) затрагивает "setWiFiGuestCfg()" и параметр "wifiOff". Вторая (BDU:2026-07505) - "setTelnetCfg()" и параметр "telnet_enabled". Третья (BDU:2026-07507) - "setMiniuiHomeInfoShow()" и параметр "lan_info". Четвёртая (BDU:2026-07508) - "setAdvancedInfoShow()" и параметр "tty_server". Пятая (BDU:2026-07509) - "setLoginPasswordCfg()" и параметр "admpass". Как видите, затронуты самые разные настройки: от гостевой Wi-Fi-сети до смены пароля администратора. Это означает, что атакующему не нужно подбирать конкретную цель - любой из этих векторов ведёт к полному захвату устройства.
Оценки опасности по международной шкале CVSS подтверждают серьёзность угрозы. По версии CVSS 2.0 все пять дефектов получили максимальный балл 10,0. Согласно актуальной версии CVSS 3.1, оценка составляет 9,8 из 10. Новая ревизия CVSS 4.0 оценивает их в 8,9 балла - всё равно очень высокий показатель. Ключевые метрики: атака может проводиться удалённо, для неё не требуется аутентификация, сложность минимальна. В случае успеха злоумышленник получает полный контроль над конфиденциальностью, целостностью и доступностью информации.
Каковы практические последствия? Маршрутизатор становится фактически "открытой дверью" в домашнюю или офисную сеть. Атакующий может перенастроить устройство, перехватывать трафик, похищать учётные данные, заражать подключённые компьютеры и гаджеты. Кроме того, скомпрометированный маршрутизатор часто включают в ботнеты для проведения DDoS-атак или организации прокси-серверов для нелегальной активности. Учитывая, что маршрутизаторы обычно работают круглосуточно и редко перезагружаются, злоумышленник может закрепиться в системе надолго.
Официальная информация об устранении уязвимостей пока отсутствует. Вендор - компания TOTOLINK - ещё не выпустила патч. На момент публикации данных статус записи в BDU определён как "данные уточняются". Это означает, что пользователям приходится рассчитывать только на компенсирующие меры защиты.
Что можно сделать прямо сейчас? Прежде всего, стоит ограничить удалённый доступ к веб-интерфейсу маршрутизатора из внешних сетей. Если нет острой необходимости управлять устройством из Интернета, эту функцию лучше отключить. Желательно также использовать межсетевые экраны для блокировки неавторизованных подключений к порту 80 (HTTP) и другим служебным портам. Сегментация сети - ещё один действенный приём: уязвимые маршрутизаторы не должны быть единственной точкой входа в инфраструктуру. Системы обнаружения вторжений (IDS) помогут зафиксировать попытки эксплуатации. А для безопасного удалённого управления стоит применять виртуальные частные сети (VPN), шифрующие трафик.
Особо отмечу парольную политику. Хотя атака не требует подбора пароля, смена заводского логина и пароля на сложные комбинации снижает риск случайного доступа. Кроме того, рекомендуется отключить протокол Telnet, если он не используется для диагностики - он передаёт данные в открытом виде и, как мы видим, является одним из векторов атаки.
К сожалению, до выхода исправления владельцы TOTOLINK A7100RU остаются в зоне риска. Целесообразно отслеживать официальный сайт производителя (https://www.totolink.net/) и репозитории с бюллетенями безопасности. Как только появится новая прошивка, её следует установить незамедлительно.
Эта история - очередное напоминание, что устройства интернета вещей зачастую становятся самым слабым звеном в сетевой защите. Производители экономят на безопасной разработке, а пользователи платят за эту экономию риском компрометации. Пока индустрия не приучится к обязательному статическому и динамическому анализу кода, подобные массовые уязвимости будут возникать снова и снова. Ситуация с A7100RU наглядно показывает: даже одна ошибка в функции обработки параметров может открыть злоумышленнику путь в каждый дом.
Ссылки
- https://bdu.fstec.ru/vul/2026-07505
- https://bdu.fstec.ru/vul/2026-07506
- https://bdu.fstec.ru/vul/2026-07507
- https://bdu.fstec.ru/vul/2026-07508
- https://bdu.fstec.ru/vul/2026-07509
- https://www.cve.org/CVERecord?id=CVE-2026-5994
- https://www.cve.org/CVERecord?id=CVE-2026-5993
- https://www.cve.org/CVERecord?id=CVE-2026-5995
- https://www.cve.org/CVERecord?id=CVE-2026-5996
- https://www.cve.org/CVERecord?id=CVE-2026-5997
- https://github.com/Litengzheng/vuldb_new/blob/main/A7100RU/vul_166/README.md
- https://github.com/Litengzheng/vuldb_new/blob/main/A7100RU/vul_165/README.md
- https://github.com/Litengzheng/vuldb_new/blob/main/A7100RU/vul_167/README.md
- https://github.com/Litengzheng/vuldb_new/blob/main/A7100RU/vul_168/README.md
- https://github.com/Litengzheng/vuldb_new/blob/main/A7100RU/vul_169/README.md
