В апреле 2025 года обнаружена критическая уязвимость в маршрутизаторах Calix, получившая идентификатор BDU:2025-14344. Проблема затрагивает службу CWMP протокола управления CPE WAN и связана с недостаточной проверкой входных данных. Злоумышленники могут удаленно выполнять произвольные команды с правами суперпользователя через 6998 TCP-порт, что фактически предоставляет им полный контроль над устройством.
Детали уязвимости
Уязвимость классифицируется как CWE-20. Эксперты оценили её базовый уровень опасности по шкале CVSS 2.0 в максимальные 10 баллов. Соответственно, по CVSS 3.1 присвоен почти максимальный балл 9.8. Такой высокий рейтинг отражает серьёзность угрозы, поскольку для эксплуатации не требуется аутентификация или взаимодействие с пользователем.
Подтверждено, что уязвимость затрагивает популярные модели маршрутизаторов Calix 812Gv2, 813Gv2 и 813Gv2-2. Кроме того, потенциально уязвимы устройства линейки 5VT. Производитель Calix, Inc. официально подтвердил наличие проблемы, однако точные способы устранения пока не опубликованы.
Особую озабоченность вызывает наличие публичного эксплойта. Это означает, что злоумышленники уже могут использовать уязвимость в реальных атаках. Поскольку маршрутизаторы Calix широко используются провайдерами и предприятиями, масштабы потенциального воздействия значительны.
Специалисты рекомендуют немедленно применить компенсирующие меры. В первую очередь, необходимо ограничить доступ к 6998 TCP-порту из внешних сетей через межсетевые экраны. Также эффективной мерой считается сегментация сети для изоляции критически важного оборудования. Для удалённого доступа следует использовать VPN-соединения вместо прямого подключения через интернет.
Киберпреступники могут использовать эту уязвимость для развёртывания вредоносного ПО, включая программы-вымогатели. Получение прав root позволяет им устанавливать постоянное присутствие в системе, скрытно собирать данные или использовать устройство в ботнетах.
Пока производитель не выпустил официальные патчи, организациям следует уделить особое внимание мониторингу сетевой активности. Системы обнаружения вторжений могут помочь выявить подозрительные подключения к 6998 порту. Кроме того, рекомендуется вести журналы всех попыток доступа к уязвимым устройствам.
Данный случай подчёркивает важность регулярного обновления прошивок сетевого оборудования. Многие организации пренебрегают этим, что создаёт значительные риски безопасности. Эксперты напоминают, что даже встроенные сетевые устройства требуют такого же внимания, как и традиционные серверы.
В целом, ситуация требует незамедлительных действий от всех пользователей затронутых устройств. Критический уровень угрозы и наличие работающего эксплойта создают идеальные условия для масштабных кибератак. Своевременное применение компенсирующих мер может предотвратить потенциально катастрофические последствия для корпоративных сетей и интернет-провайдеров.
