В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, затрагивающая популярные MESH-маршрутизаторы D-Link DIR-1253. Идентифицированная как BDU:2026-04448 и CVE-2025-29165, эта проблема безопасности связана с небезопасным управлением привилегиями в микропрограммном обеспечении устройств. Эксперты предупреждают, что злоумышленник, действующий удаленно без каких-либо учетных данных, может полностью скомпрометировать маршрутизатор, получив на нем наивысшие права доступа.
Детали уязвимости
Уязвимость существует в файле "/etc/shadow.sample", который является частью прошивки. Этот файл, по сути, образец конфигурации паролей, оказался доступен для чтения и, потенциально, для модификации с неверно назначенными правами. Следовательно, атакующий может использовать эту ошибку для эскалации привилегий. Иными словами, он может перейти от ограниченного доступа к полному контролю над устройством, что в терминах кибербезопасности часто называют получением привилегий суперпользователя (root). Уязвимы все маршрутизаторы DIR-1253 с версией микропрограммного обеспечения 1.6.1684 и более ранними.
Оценка по методологии CVSS подтверждает исключительную опасность этой находки. Базовая оценка CVSS 2.0 достигает максимальных 10.0 баллов, а CVSS 3.1 - 9.8 баллов. Обе оценки соответствуют критическому уровню угрозы. Вектор атаки оценивается как сетевой (AV:N), что не требует физического доступа к устройству. Более того, для эксплуатации не нужны ни учетные данные (PR:N), ни взаимодействие с пользователем (UI:N). Успешная атака приводит к полной компрометации конфиденциальности, целостности и доступности системы (C:H/I:H/A:H).
Особую озабоченность вызывает тот факт, что, согласно данным BDU, эксплойт, использующий эту уязвимость, уже существует в открытом доступе. Это значительно снижает порог входа для злоумышленников, включая тех, кто обладает лишь базовыми техническими навыками. Наличие работающего кода для эксплуатации резко увеличивает вероятность массовых атак в ближайшее время. Тип эксплуатации классифицируется как нарушение авторизации, что напрямую связано с ошибкой управления правами доступа (CWE-269).
На данный момент способ устранения уязвимости от вендора, компании D-Link, официально не опубликован, и статус обновления уточняется. Однако пользователям крайне важно принять незамедлительные компенсирующие меры для снижения риска. Специалисты рекомендуют, прежде всего, максимально ограничить удаленный доступ к маршрутизатору из интернета. Следует отключить функции управления через WAN, особенно с использованием незащищенных протоколов, таких как HTTP или Telnet.
Эффективной мерой защиты является сегментация сети. Иными словами, уязвимое устройство должно быть вынесено в отдельный изолированный сегмент, чтобы минимизировать потенциальный ущерб в случае его взлома. Кроме того, необходимо обеспечить строгую парольную политику для доступа к веб-интерфейсу администратора маршрутизатора. Использование сложных уникальных паролей усложнит жизнь злоумышленникам, даже если они найдут другие способы атаки.
Для корпоративных сетей критически важно задействовать дополнительные средства защиты. Межсетевые экраны должны быть настроены на блокировку нежелательных внешних подключений к маршрутизаторам. Системы обнаружения и предотвращения вторжений (IDS/IPS) могут помочь в выявлении подозрительной активности, связанной с попытками эксплуатации данной уязвимости. Организация безопасного удаленного доступа для администраторов должна осуществляться исключительно через виртуальные частные сети (VPN) с надежной аутентификацией.
Эта уязвимость в очередной раз подчеркивает важность безопасности интернета вещей (IoT) и сетевого оборудования. Маршрутизаторы, будучи ключевыми сетевыми шлюзами, представляют собой высокоценную цель для хакеров. Компрометация такого устройства позволяет перехватывать весь трафик, перенаправлять пользователей на фишинговые сайты или использовать маршрутизатор в качестве плацдарма для атак на другие устройства во внутренней сети. Поэтому владельцам моделей DIR-1253 необходимо внимательно следить за официальным сайтом D-Link в разделе бюллетеней безопасности и незамедлительно устанавливать патч, как только он станет доступен. До выхода обновления строгое следование компенсирующим мерам является единственным способом защиты от потенциальной полномасштабной компрометации домашней или корпоративной сети.
Ссылки
- https://bdu.fstec.ru/vul/2026-04448
- https://www.cve.org/CVERecord?id=CVE-2025-29165
- https://codeberg.org/zuhri/advisory/src/branch/main/CVE-2025-29165
- https://github.com/rhpz/DIR-1253
- https://archive.org/details/dir-1253-m-dlink-id-v-1.6.1527
- https://www.dlink.com/en/security-bulletin/
