В Банк данных угроз безопасности информации (BDU) была внесена запись о новой критической уязвимости, затрагивающей популярные домашние и офисные маршрутизаторы TOTOLINK A7100RU. Проблема получила идентификатор BDU:2026-07594, а также международный номер CVE-2026-6154. Как выяснили исследователи дефект кроется в функции setWizardCfg() внутри сценария cgi-bin/cstecgi.cgi - одного из ключевых компонентов микропрограммного обеспечения устройства.
Детали уязвимости
На первый взгляд может показаться, что эта новость касается только владельцев конкретной модели. Но на деле ситуация гораздо серьёзнее. TOTOLINK A7100RU - широко распространённый маршрутизатор, его используют как в домашних сетях, так и в небольших офисах. Уязвимость позволяет атакующему, действующему удалённо, выполнить произвольные команды на устройстве. А это значит, что злоумышленник может полностью перехватить контроль над маршрутизатором, изменить настройки сети, перехватить трафик и даже использовать его как точку входа в корпоративную инфраструктуру.
Разберёмся в технической стороне вопроса. Ошибка относится сразу к двум классам по классификации CWE: CWE-77 и CWE-78. Оба описывают непринятие мер по нейтрализации специальных элементов, используемых в команде операционной системы. Проще говоря, разработчики не очистили данные, которые передаются от пользователя к управляющему уровню. Злоумышленник может подставить вредоносную нагрузку (payload) в параметры запроса, и система выполнит её с привилегиями маршрутизатора. При этом никакой аутентификации не требуется - достаточно отправить специально сформированный HTTP-запрос на уязвимый эндпоинт.
Базовые оценки по шкале CVSS подтверждают критичность проблемы. По версии CVSS 2.0 показатель составляет 10 из 10 - максимальное значение. Версия 3.1 даёт 9,8 балла, а CVSS 4.0 - 8,9 балла. Хотя последняя оценка немного ниже, это всё равно высокий уровень опасности. Важно отметить, что вектор атаки во всех версиях предполагает удалённую эксплуатацию без каких-либо привилегий и без участия пользователя. Атакующему не нужен доступ к учётной записи или физическому устройству.
Сейчас уже известно, что эксплойт существует в открытом доступе. Исследователь Litengzheng опубликовал технические детали на платформе GitHub. Это означает, что любой злоумышленник может скачать готовый инструмент и атаковать незащищённые маршрутизаторы.
Какие последствия могут быть для пользователей? Если злоумышленник получит контроль над маршрутизатором, он сможет перенаправлять трафик на фишинговые сайты, внедрять вредоносное ПО в загружаемые файлы, перехватывать логины и пароли, а также использовать устройство как часть ботнета для DDoS-атак. Особенно опасна эта уязвимость для малого бизнеса, где маршрутизаторы TOTOLINK часто используются без дополнительной защиты и сегментации сети.
К сожалению, на момент публикации информации производитель ещё не выпустил обновление прошивки. Статус уязвимости в BDU указан как "данные уточняются". Это значит, что официального патча пока нет, и пользователям приходится полагаться только на компенсирующие меры.
Эксперты рекомендуют ограничить удалённый доступ к устройству из интернета. Если нет острой необходимости, отключите функцию удалённого управления. Используйте межсетевые экраны, чтобы заблокировать доступ к портам управления маршрутизатора из внешних сетей. Также стоит настроить сегментирование сети - изолировать уязвимое устройство от критически важных сегментов корпоративной инфраструктуры. Обязательно смените пароль администратора, если используется стандартный. И по возможности подключите маршрутизатор к сети через виртуальную частную сеть (VPN) для организации защищённого удалённого доступа. Системы обнаружения и предотвращения вторжений также могут помочь, но они часто недоступны в домашних сетях. Владельцам маршрутизаторов TOTOLINK A7100RU стоит регулярно проверять сайт производителя на предмет выхода обновления прошивки и устанавливать его сразу после публикации.
Эта история лишний раз напоминает о важности своевременного обновления сетевого оборудования. Многие пользователи забывают прошивать маршрутизаторы. На деле сетевое устройство - это полноценный компьютер, который может стать слабым звеном в защите всей сети. Критическая уязвимость в TOTOLINK A7100RU - не единичный случай. Подобные проблемы регулярно обнаруживаются в устройствах разных вендоров, и часто производители не спешат выпускать исправления.
Ссылки
- https://bdu.fstec.ru/vul/2026-07594
- https://www.cve.org/CVERecord?id=CVE-2026-6154
- https://github.com/Litengzheng/vuldb_new/blob/main/A7100RU/vul_194/README.md
