Критическая уязвимость в маршрутизаторах D-Link DI-8200G позволяет выполнять удалённые команды

В начале 2026 года в Банке данных угроз (BDU) была зарегистрирована новая серьёзная уязвимость, затрагивающая корпоративные маршрутизаторы D-Link DI-8200G. Идентификатор уязвимости - BDU:2026-02157, также ей присвоен идентификатор CVE-2026-0732. Проблема, получившая максимально высокий балл по шкале CVSS 3.1, позволяет злоумышленнику выполнять произвольные команды на уязвимом устройстве без необходимости аутентификации.

Детали уязвимости

Уязвимость относится к классу внедрения команд и существует в файле "/upgrade_filter.asp" микропрограммного обеспечения (прошивки) маршрутизаторов. Технически, она возникает из-за неправильной нейтрализации специальных элементов в выходных данных. Иными словами, устройство недостаточно проверяет и очищает входящие данные, что открывает путь для удалённой эксплуатации. Согласно общедоступным источникам, эксплойт для этой уязвимости уже существует в открытом доступе, что значительно повышает актуальность угрозы.

Затронута конкретная версия прошивки - 17.12.20A1. Важно отметить, что оценка опасности различается в зависимости от используемой версии метрики CVSS. По устаревшей CVSS 2.0 уровень опасности оценивается как средний. Однако по современной CVSS 3.1 уязвимость получает критический балл 9.8 из 10. Это расхождение подчёркивает эволюцию подходов к оценке рисков, где современные метрики учитывают более жёсткие сценарии атак, такие как эксплуатация без каких-либо привилегий или взаимодействия с пользователем.

Основной вектор атаки - инъекция команд через сетевой интерфейс устройства. Поскольку для эксплуатации не требуется аутентификация, маршрутизатор, доступный из интернета, становится первоочередной мишенью. Успешная атака может привести к полному захвату контроля над устройством. В результате злоумышленник потенциально способен перехватывать или модифицировать трафик, отключать сетевые службы, использовать устройство как плацдарм для атак на внутреннюю сеть организации или как часть ботнета.

На текущий момент официальный способ устранения уязвимости от вендора, компании D-Link Corp., находится в стадии уточнения. В связи с этим крайне важным становится применение компенсирующих мер для снижения риска. Эксперты рекомендуют немедленно ограничить или полностью запретить удалённый доступ к интерфейсу управления маршрутизаторами из глобальной сети. Кроме того, эффективной мерой является сегментация сети, которая изолирует критически важные устройства.

Для защиты инфраструктуры также следует рассмотреть использование межсетевых экранов, систем обнаружения и предотвращения вторжений (IDS/IPS). Эти системы могут помочь в выявлении и блокировании подозрительных попыток взаимодействия с уязвимым компонентом. Организация удалённого доступа для администраторов должна осуществляться исключительно через защищённые каналы, такие как виртуальные частные сети (VPN). Параллельно необходимо обеспечить строгое соблюдение сильной парольной политики для всех учётных записей на устройстве.

Данный случай наглядно демонстрирует классические риски, связанные с устаревшим или недостаточно протестированным сетевым оборудованием. Уязвимости типа "инъекция команд" остаются одним из наиболее опасных классов угроз для embedded-систем. Специалистам по информационной безопасности рекомендуется провести инвентаризацию сетевой инфраструктуры на предмет наличия затронутых моделей D-Link DI-8200G с указанной версией прошивки.

Необходимо отслеживать официальные сообщения от производителя относительно выхода обновления микропрограммы. До момента получения патча применение комплексных компенсирующих мер является единственным способом обеспечить безопасность. Регулярный аудит правил фильтрации на периметре и мониторинг сетевой активности на предмет аномалий помогут своевременно обнаружить попытки злоумышленников воспользоваться этой критической брешью в безопасности.

Детали уязвимости

Ссылки