В начале 2026 года специалисты по кибербезопасности выявили опасную уязвимость в популярных маршрутизаторах Edimax BR-6208AC. Проблема, зарегистрированная в Банке данных угроз (BDU) под номером BDU:2026-05046 и получившая идентификатор CVE-2025-70161, позволяет злоумышленникам удалённо выполнять произвольные команды на устройстве с максимальными привилегиями. Базовые оценки по шкале CVSS составляют 10 баллов для версии 2.0 и 9.8 баллов для версии 3.1, что соответствует критическому уровню опасности. Эксперты предупреждают, что в открытом доступе уже существуют рабочие эксплойты, активно используемые для атак.
Детали уязвимости
Уязвимость относится к классу внедрения команд (CWE-77) и кроется в функции "system()" микропрограммного обеспечения (прошивки) маршрутизатора. Конкретно, проблема заключается в отсутствии надлежащей очистки входных данных на управляющем уровне при обработке параметра "pppUserName". В результате, удалённый атакующий может внедрить в этот параметр специально сформированные команды. Следовательно, при обработке запроса эти команды будут выполнены на устройстве с правами суперпользователя. Таким образом, злоумышленник получает возможность полностью контролировать маршрутизатор, перехватывать трафик или использовать его как точку входа для атак на внутреннюю сеть.
Данная проблема затрагивает маршрутизаторы Edimax BR-6208AC с версией прошивки 2_1.02. Поставщик, компания EDIMAX Technology Co., Ltd., пока не предоставил информацию о статусе устранения уязвимости и не выпустил патч. Между тем, технические детали эксплуатации опубликованы в открытых источниках, что значительно упрощает жизнь киберпреступникам. В частности, для атаки может использоваться веб-интерфейс управления устройством. Поэтому любое устройство с доступом в интернет и включённым удалённым администрированием находится в зоне высокого риска.
Специалисты настоятельно рекомендуют немедленно принять компенсирующие меры для снижения риска эксплуатации. Прежде всего, необходимо ограничить удалённый доступ к веб-интерфейсу маршрутизатора из внешних сетей. Кроме того, критически важно отключить небезопасные протоколы управления, такие как HTTP или Telnet. Также эффективной мерой является сегментация сети, которая изолирует маршрутизатор от других критически важных узлов. Для организации безопасного удалённого доступа к инфраструктуре следует использовать виртуальные частные сети (VPN).
Дополнительный уровень защиты могут обеспечить системы обнаружения и предотвращения вторжений (IDS/IPS). Эти системы способны выявлять характерные для внедрения команд аномалии в сетевом трафике. Параллельно необходимо соблюдать строгую парольную политику для доступа к административному интерфейсу устройства. Однако важно понимать, что эти меры лишь снижают вероятность успешной атаки, но не устраняют саму уязвимость. Полное решение проблемы станет возможным только после выпуска вендором обновлённой микропрограммы.
Появление такой критической уязвимости в потребительском сетевом оборудовании подчёркивает общую тенденцию роста угроз для интернета вещей (IoT). Зачастую подобные устройства остаются без обновлений безопасности годами, превращаясь в лёгкую добычу для хакеров. В данном случае атака не требует от злоумышленника предварительной аутентификации, что делает её особенно опасной. Фактически, любое подверженное уязвимости устройство, доступное из интернета, может быть скомпрометировано в автоматическом режиме, например, с помощью ботнета.
В заключение, владельцам маршрутизаторов Edimax BR-6208AC рекомендуется внимательно следить за официальными сообщениями вендора о выпуске патча. До тех пор, пока обновление не будет установлено, необходимо строго следовать рекомендациям по компенсирующим мерам. В противном случае устройство может быть использовано для запуска вредоносного кода (payload), обеспечения устойчивости (persistence) в сети жертвы или как ступень для более глубокого вторжения. Регулярный аудит безопасности периметровых сетевых устройств остаётся ключевой практикой для предотвращения подобных инцидентов.
Ссылки
- https://bdu.fstec.ru/vul/2026-05046
- https://www.cve.org/CVERecord?id=CVE-2025-70161
- https://tzh00203.notion.site/EDIMAX-BR-6208AC-V2_1-02-Command-Injection-Vulnerability-in-Web-setWAN-handler-2d3b5c52018a80d7ae8dce2bf5e3294c?source=copy_link
