Сразу две опасные уязвимости были обнаружены в микропрограммном обеспечении маршрутизаторов TOTOLINK A8000RU. Производитель пока не выпустил официальных обновлений прошивки. Ситуация осложняется тем, что для одной из найденных брешей уже существует рабочий код атаки в открытом доступе. Это означает, что любой, даже не слишком опытный злоумышленник может воспользоваться готовым инструментом.
Детали уязвимостей
Речь идет об уязвимостях, зарегистрированных в Банке данных угроз безопасности информации (BDU) ФСТЭК России под номерами BDU:2026-09611 и BDU:2026-09612. Обеим присвоены идентификаторы в реестре CVE: CVE-2026-7137 и CVE-2026-7138 соответственно. Уровень опасности обеих брешей оценен как критический. По шкале CVSS 3.1 каждая из них получила 9,8 балла из 10 возможных. Корень проблемы кроется в исполняемых CGI-скриптах. Маршрутизаторы TOTOLINK A8000RU использует встроенный веб-интерфейс для управления своими настройками. Именно в этих скриптах, а точнее, в функциях "setStorageCfg" и "setNtpCfg" файла "/cgi-bin/cstecgi.cgi", кроется опасность.
Разработчики не предусмотрели механизмов проверки данных, которые поступают от пользователя через веб-формы. Злоумышленник, не проходя аутентификацию - то есть без ввода логина и пароля - может отправить специально сформированный HTTP-запрос на маршрутизатор. Внутри этого запроса можно разместить произвольные команды операционной системы. Это называется инъекцией команд (command injection).
Простыми словами, устройство принимает команду злоумышленника и выполняет её, как свою собственную. Причём команда выполняется с максимальными привилегиями. В результате атакующий получает полный контроль над маршрутизатором. Он может менять любые настройки, перехватывать весь трафик, проходящий через устройство, или перенаправлять его на подставные сайты. Более того, захваченный маршрутизатор может стать частью ботнета - сети зараженных устройств, используемых для массовых атак на другие цели.
Особую тревогу вызывает уязвимость BDU:2026-09612 (CVE-2026-7138). В записи об этой бреши прямо указано, что эксплойт существует в открытом доступе. По сути, любой желающий может скачать и запустить его, не обладая глубокими техническими знаниями. Единственный способ атаковать устройство - это отправить на него вредоносную полезную нагрузку. Для этого нарушителю достаточно иметь сетевой доступ к маршрутизатору. Для эксплуатации не требуется физического контакта с устройством. Если маршрутизатор подключен к интернету и его веб-интерфейс доступен извне - он под ударом. Это типичная ситуация для малых офисов или домашних пользователей, не отключивших удаленное управление. Именно такие устройства чаще всего становятся жертвами массовых сканирований.
На данный момент вендор, компания TOTOLink, не опубликовала исправлений прошивки. Что же делать владельцам TOTOLINK A8000RU до выхода обновлений? В первую очередь, стоит ограничить доступ к веб-интерфейсу маршрутизатора. Лучше всего полностью отключить функцию удаленного управления из внешних сетей. Если такой возможности нет, следует использовать виртуальную частную сеть (VPN) для входа в настройки. Также крайне важно сегментировать сеть: не стоит подключать критичные для бизнеса устройства на одном сегменте с маршрутизатором, у которого нет патча. Можно задействовать средства межсетевого экранирования. Системы обнаружения и предотвращения вторжений (IDS/IPS) способны блокировать известные шаблоны инъекций. Но защита такого рода не даёт абсолютной гарантии, если злоумышленник видоизменит код атаки.
Соблюдение строгой парольной политики для доступа к устройству в данном случае не поможет - аутентификация не требуется. Остаётся надеяться, что TOTOLink оперативно выпустит обновление прошивки. Пока же каждый владелец A8000RU должен осознавать: его маршрутизатор - потенциальная мишень, готовая к атаке одним лишь сетевым запросом.
Ссылки
- https://bdu.fstec.ru/vul/2026-09611
- https://bdu.fstec.ru/vul/2026-09612
- https://www.cve.org/CVERecord?id=CVE-2026-7137
- https://www.cve.org/CVERecord?id=CVE-2026-7138
- https://github.com/Litengzheng/vuldb_new2/blob/main/A8000RU/vul_312/README.md
- https://github.com/Litengzheng/vuldb_new2/blob/main/A8000RU/vul_313/README.md