Эксперты по кибербезопасности обнаружили критическую уязвимость в микропрограммном обеспечении маршрутизаторов D-Link серий DSR-150, DSR-150N и DSR-250. Уязвимость, получившая идентификаторы BDU:2025-14651 и CVE-2025-60344, оценивается максимальным баллом 10.0 по шкале CVSS как в версии 2.0, так и в версии 3.1, что указывает на экстремальную степень опасности.
Детали уязвимости
Проблема затрагивает компонент Setting Handler микропрограммного обеспечения и связана с недостаточной защитой служебных данных. В частности, специалисты выделяют три типа ошибок: раскрытие информации (CWE-200), неправильное присваивание привилегий (CWE-266) и неправильный контроль доступа (CWE-284). Уязвимы все устройства DSR-150, DSR-150N и DSR-250N с микропрограммным обеспечением версии ниже 1.09B32 WW.
Главная опасность заключается в том, что злоумышленник может эксплуатировать эту уязвимость удаленно без необходимости аутентификации. Для этого достаточно отправить специально сформированный HTTP POST-запрос. В результате успешной атаки нарушитель получает полный контроль над маршрутизатором, включая возможность несанкционированного сбора конфиденциальной информации.
Уже сейчас в открытом доступе присутствует рабочий эксплойт, что значительно увеличивает риски массовых атак. Исследователи подтвердили, что код для эксплуатации уязвимости опубликован на GitHub в репозиториях fyoozr/D-Link-DSR-N250-LFI-Vulnerability и fyoozr/vulnerability-research.
Стоит отметить, что максимальные оценки по CVSS обусловлены несколькими факторами. Во-первых, для атаки не требуются специальные условия эксплуатации или привилегии пользователя. Во-вторых, последствия включают полный компрометацию конфиденциальности, целостности и доступности системы. Более того, уязвимость затрагивает все компоненты защищаемой системы.
На текущий момент производитель еще не предоставил официальные исправления. Статус уязвимости и информация о способах устранения остаются на стадии уточнения. Однако эксперты рекомендуют немедленно принять компенсирующие меры.
В качестве временного решения специалисты советуют использовать межсетевые экраны для ограничения удаленного доступа к устройствам. Кроме того, критически важно ограничить доступ к маршрутизаторам из внешних сетей, включая интернет. Организация удаленного доступа через VPN также может помочь снизить риски эксплуатации.
Владельцам затронутых устройств необходимо следить за обновлениями на официальном сайте D-Link. Как только производитель выпустит патч, его следует установить немедленно. Между тем, администраторам рекомендуется мониторить попытки несанкционированного доступа к сетевым устройствам.
Данный случай демонстрирует сохраняющуюся актуальность проблем безопасности в сетевом оборудовании. Производителям необходимо уделять больше внимания тестированию компонентов управления настройками. С другой стороны, пользователям следует регулярно обновлять микропрограммное обеспечение и соблюдать принципы минимальных привилегий.
Уязвимость была зарегистрирована в базе данных уязвимостей 21 октября 2025 года. Дополнительную техническую информацию можно найти на ресурсах vuldb.com и в соответствующих репозиториях GitHub. Эксперты продолжают исследовать возможные векторы атаки и дополнительные способы защиты.
Ссылки
- https://bdu.fstec.ru/vul/2025-14651
- https://www.cve.org/CVERecord?id=CVE-2025-60344
- https://github.com/fyoozr/D-Link-DSR-N250-LFI-Vulnerability/
- https://github.com/fyoozr/vulnerability-research/tree/main/CVE-2025-60344
- https://vuldb.com/?id.329223
