Критическая уязвимость в микропрограммном обеспечении маршрутизаторов GL.iNet, позволяющая злоумышленникам выполнять произвольные команды на уязвимых устройствах. Уязвимости присвоен идентификатор BDU:2025-14629 и CVE-2024-39226. Данная проблема затрагивает более 30 моделей сетевых устройств популярного производителя.
Детали уязвимости
Уязвимость классифицируется как CWE-22 (неверное ограничение имени пути к каталогу с ограниченным доступом). Проще говоря, это тип уязвимости обхода пути (path traversal), когда атакующий может манипулировать путями к файлам для доступа к каталогам, выходящим за пределы предназначенной директории. Конкретно в данном случае недостаток связан с интерфейсом s2s (site-to-site), где возможна инъекция команд через оболочку.
По шкале CVSS 2.0 уязвимость получила максимальную оценку 10.0, а по CVSS 3.1 - 9.8 баллов. Обе оценки соответствуют критическому уровню опасности. Вектор атаки определен как AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, что означает возможность удаленной эксплуатации без аутентификации и с минимальной сложностью атаки. Следовательно, злоумышленник может полностью компрометировать устройство без взаимодействия с пользователем.
Производитель GL Tech (HK) Ltd. подтвердил наличие уязвимости и уже выпустил исправления. Список затронутых моделей включает как новые устройства (GL-MT6000, GL-AXT1800, GL-X3000), так и более ранние версии (GL-AR300M, GL-MT300N-V2). Уязвимые версии микропрограммного обеспечения варьируются от 3.216 до 4.5.16 в зависимости от модели.
Эксплуатация уязвимости позволяет удаленному злоумышленнику выполнять произвольные команды на целевом устройстве. Это открывает возможности для полного контроля над маршрутизатором, перехвата сетевого трафика, создания точки постоянного доступа в сети или развертывания вредоносного полезной нагрузки. В худшем сценарии атакующие могут устанавливать программы-вымогатели, создавать ботнеты или проводить атаки на другие устройства в локальной сети.
Важно отметить, что для успешной атаки не требуется физический доступ к устройству или учетные данные администратора. Удаленный характер уязвимости делает ее особенно опасной для маршрутизаторов, доступных из интернета. Владельцы корпоративных сетей и домашние пользователи подвергаются одинаковому риску.
Производитель рекомендует немедленно обновить микропрограммное обеспечение до последней версии. Все необходимые исправления уже доступны через стандартный механизм обновлений в веб-интерфейсе администратора. Дополнительные технические детали и инструкции по обновлению размещены на GitHub репозитории компании.
Проблема была обнаружена 6 августа 2024 года, а на момент публикации новости статус уязвимости изменился на "устраненная". Однако учитывая критический характер угрозы, многие устройства могут оставаться необновленными. Специалисты по кибербезопасности настоятельно рекомендуют проверить и обновить все устройства GL.iNet в кратчайшие сроки.
Отсутствие информации о наличии публичных эксплойтов не должно расслаблять пользователей. Обычно такие уязвимости быстро привлекают внимание исследователей безопасности и злоумышленников. Следовательно, окно для безопасного обновления может быть ограниченным.
Данный инцидент подчеркивает важность регулярного обновления прошивок сетевых устройств. Многие пользователи пренебрегают этим базовым правилом кибергигиены, оставляя свои сети открытыми для атак. Между тем маршрутизаторы являются критически важным элементом сетевой инфраструктуры, и их компрометация ставит под угрозу все подключенные устройства.
Для корпоративных пользователей рекомендуется дополнительно проверить настройки межсетевых экранов и ограничить доступ к интерфейсам управления маршрутизаторами из внешних сетей. Также стоит рассмотреть возможность мониторинга сетевой активности на предмет подозрительных действий.
Производитель GL.iNet оперативно отреагировал на обнаруженную проблему, что заслуживает положительной оценки. Тем не менее, масштаб затронутых моделей и критичность уязвимости требуют повышенного внимания со стороны пользовательского сообщества. Регулярный аудит безопасности сетевой инфраструктуры должен стать стандартной практикой для всех организаций и частных лиц.
На текущий момент нет подтвержденных данных об активной эксплуатации уязвимости в дикой природе. Однако учитывая доступность технических деталей на GitHub, можно ожидать появление эксплойтов в ближайшем будущем. Поэтому меры по обновлению должны быть приняты незамедлительно.
Владельцам уязвимых устройств следует посетить официальный форум поддержки GL.iNet или портал безопасности компании для получения дополнительной информации. Там же можно найти подробные инструкции по процедуре обновления для каждой конкретной модели маршрутизатора.
Этот случай еще раз демонстрирует, что даже специализированные сетевые устройства не застрахованы от серьезных уязвимостей. Постоянная бдительность и своевременное применение исправлений остаются ключевыми элементами защиты от киберугроз в современной цифровой среде.
Ссылки
- https://bdu.fstec.ru/vul/2025-14629
- https://www.cve.org/CVERecord?id=CVE-2024-39226
- https://github.com/gl-inet/CVE-issues/blob/main/4.0.0/s2s%20interface%20shell%20injection.md
