В сетевых хранилищах (NAS) компании ASUSTOR обнаружена критическая уязвимость, которая ставит под угрозу данные тысяч пользователей по всему миру. Проблему, получившую идентификатор CVE-2026-6644, выявил исследователь безопасности под псевдонимом uky007. Данная уязвимость затрагивает операционную систему ASUSTOR ADM, а точнее - компонент PPTP-клиента (протокола туннелирования "точка-точка"). Согласно классификатору CVSS v4.0, уровень угрозы оценивается в 9,4 балла из десяти возможных, что относит эту находку к категории критических.
Уязвимость CVE-2026-6644
Речь идёт об инъекции команд операционной системы. Простыми словами, злоумышленник, имеющий права администратора ADM, может отправить на устройство специально сформированный запрос, который заставит NAS выполнить произвольные команды с привилегиями root. Иными словами, атакующий получает полный и абсолютный контроль над устройством.
Разработчик уже выпустил исправление. Компания ASUSTOR закрыла уязвимость в версии ADM 5.1.3.RGO1. Однако проблема в том, что многие владельцы устройств до сих пор не установили обновление и, что ещё опаснее, используют стандартные учётные данные.
Технические детали: как работает эксплуатация
Корень уязвимости кроется в обработчике PPTP-подключений. Он расположен по пути /portal/apis/settings/vpn.cgi. Когда администратор вводит адрес PPTP-сервера, система записывает этот параметр напрямую в конфигурационный файл службы pppd. Увы, но разработчики допустили грубую ошибку: они не предусмотрели экранирование и проверку вводимых данных. Параметры имени пользователя и пароля обрабатываются корректно - система экранирует одинарные кавычки. Но проверка адреса сервера полностью отсутствует.
В связи с этим открывается возможность для атаки. Дело в том, что служба pppd исполняет значение параметра pty через командную оболочку /bin/sh. Атакующий может ввести в поле "адрес сервера" специальную строку, которая "вырвется" за пределы веб-интерфейса и заставит систему выполнить вредоносную команду от имени root. Исследователь уже опубликовал Proof of Concept (PoC) - рабочий прототип эксплойта, написанный на Python. Это означает, что теперь любой технически подкованный злоумышленник может повторить атаку.
Важно подчеркнуть, что данная уязвимость не является предварительно-авторизационной. Атакующему сначала нужно получить доступ к веб-интерфейсу ADM с правами администратора. Но именно здесь кроется дополнительная опасность. Устройства ASUSTOR поставляются с заводскими учётными данными: логин admin и пароль admin. Если пользователь не изменил эти данные, то для злоумышленника не составляет труда войти в систему.
Последствия атаки и масштаб угрозы
После получения root-доступа атакующий получает полный контроль над NAS-устройством. Это открывает широкий спектр возможностей для злоумышленника. Он может установить вредоносное программное обеспечение, которое закрепится в системе (persistence). Речь идёт о полезных нагрузках (payload - код, выполняющий вредоносные действия). Кроме того, атакующий получает доступ ко всем хранящимся данным. Это могут быть корпоративные документы, архивы резервных копий, личные файлы или медицинская информация.
Более того, скомпрометированное устройство можно использовать в составе ботнета для проведения DDoS-атак (распределённых атак типа "отказ в обслуживании"). Также NAS может стать точкой прокси для сокрытия других атак. В некоторых случаях злоумышленники устанавливают программы-вымогатели, которые шифруют все данные на устройстве и требуют выкуп за их расшифровку.
Согласно данным сканирующего сервиса Censys, в интернете обнаружено около 19 тысяч устройств, связанных с ASUSTOR. Эта цифра отражает общее количество сетевых хранилищ, доступных из глобальной сети, а не количество подтверждённо уязвимых устройств. Однако она указывает на широкую поверхность атаки. Злоумышленники активно сканируют интернет в поисках уязвимого оборудования.
Рекомендации по защите
Специалистам по кибербезопасности и системным администраторам следует немедленно предпринять ряд шагов для защиты своих устройств. В первую очередь необходимо обновить прошивку ADM до версии 5.1.3.RGO1 или более поздней. Это самый важный и очевидный шаг.
Крайне важно изменить стандартные учётные данные администратора. Пароль должен быть сложным, уникальным и не использоваться на других сервисах. Кроме того, следует ограничить доступ к веб-интерфейсу управления NAS. Ни в коем случае нельзя оставлять его открытым для доступа из интернета. Лучше всего разрешить управление только из доверенной внутренней сети. Если удалённый доступ необходим, следует настроить защищённое VPN-подключение.
Дополнительной мерой защиты является отключение неиспользуемых сервисов на устройстве. Чем меньше служб запущено, тем меньше у злоумышленника возможностей для атаки. Этот подход называется уменьшением поверхности атаки и является стандартной практикой в сфере кибербезопасности.
Таким образом, уязвимость CVE-2026-6644 представляет собой серьёзную угрозу для владельцев устройств ASUSTOR. Сочетание критической ошибки в коде, стандартных паролей и тысяч устройств, доступных из интернета, создаёт идеальные условия для масштабной атаки. Промедление с установкой обновления может стоить не только данных, но и репутации компании.
Ссылки
- https://uky007.github.io/CVE-2026-6644/
- https://www.cve.org/CVERecord?id=CVE-2026-6644
- https://www.asustor.com/security/security_advisory_detail?id=55
