В Банке данных угроз безопасности информации (BDU) была зарегистрирована уязвимость, затрагивающая популярные домашние и офисные маршрутизаторы TOTOLINK N300RH. Проблема получила идентификатор BDU:2026-07424, а также международный номер CVE-2026-9543. Речь идёт о критической ошибке в микропрограммном обеспечении версии 6.1c.1353_B20190305. По данным разработчиков, эксплуатация этой уязвимости позволяет удалённому нарушителю не только перехватить управление маршрутизатором, но и выполнить произвольный код на устройстве. Оценка по шкале CVSS 3.1 составила 9,8 балла из десяти, что соответствует наивысшему уровню опасности.
Детали уязвимости
Причина кроется в функции setPasswordCfg(), которая присутствует в сценарии /cgi-bin/cstecgi.cgi. Разработчики не предусмотрели очистку данных на управляющем уровне при обработке параметра admpass. Простыми словами, злоумышленник может отправить специально сформированный HTTP-запрос на маршрутизатор и "внедрить" произвольную команду операционной системы. Такая техника атаки известна как "инъекция команд" (command injection). Важно подчеркнуть, что для запуска атаки не требуется предварительная аутентификация - нарушитель действует удалённо, не зная пароля администратора. Он просто посылает на уязвимый веб-интерфейс строку, которую маршрутизатор воспринимает как команду к исполнению.
С технической точки зрения здесь присутствуют сразу два класса ошибок, описанных в реестре CWE. Первая - CWE-77: непринятие мер по чистке данных на управляющем уровне (внедрение в команду). Вторая - CWE-78: непринятие мер по нейтрализации специальных элементов, используемых в команде операционной системы. Фактически программа доверяет пользовательскому вводу и подставляет его без проверки в системный вызов. Это позволяет нарушителю, манипулируя параметром admpass, выполнять любые действия от имени маршрутизатора.
Наличие эксплойта уже подтверждено - он опубликован в открытом доступе на платформе GitHub. Это значит, что любой человек, имеющий базовые навыки работы с сетевыми запросами, может повторить атаку. Пока производитель TOTOLink не выпустил исправление прошивки. Поэтому владельцам маршрутизаторов N300RH остаётся полагаться только на компенсирующие меры.
Какие риски несёт эксплуатация этой уязвимости? Если злоумышленник получит контроль над маршрутизатором, он сможет изменить его настройки, перенаправить трафик на фишинговые сайты, перехватывать данные, проходящие через устройство, или использовать маршрутизатор как часть ботнета для атак на другие цели. Учитывая, что это устройство часто используется в малом бизнесе и домашних сетях, последствия могут быть очень серьёзными - от утечки персональных данных до вывода из строя всей локальной инфраструктуры.
Эксперты по кибербезопасности рекомендуют в качестве временной защиты несколько шагов. Прежде всего следует ограничить доступ к веб-интерфейсу маршрутизатора из внешних сетей - то есть из интернета. В идеале управление устройством должно быть доступно только из локальной сети по протоколу HTTPS. Если такой возможности нет, стоит настроить межсетевой экран, блокирующий входящие подключения к порту 80 и 443 (если они не закрыты по умолчанию). Также полезно использовать "белые списки" адресов: разрешить доступ к панели администратора только с доверенных IP. И наконец, если без удалённого администрирования не обойтись, следует организовать доступ через виртуальную частную сеть (VPN) и включить системы обнаружения вторжений (IDS) - они помогут зафиксировать подозрительные HTTP-запросы.
Отдельно стоит отметить, что, хотя уязвимость обнаружена в конкретной модели TOTOLINK N300RH, похожие проблемы с функцией setPasswordCfg() могут присутствовать и в других прошивках этого вендора. Владельцам любых маршрутизаторов TOTOLink стоит проверить, не используется ли на устройстве аналогичный сценарий cstecgi.cgi, и при возможности обновить микропрограммное обеспечение до последней версии. Пока официальный патч отсутствует, единственный способ снизить риск - максимально ограничить вектор атаки, то есть доступность уязвимого сервиса извне.
Подводя итог, можно сказать, что инцидент с N300RH - типичный пример того, как небольшая ошибка в коде превращает массовое устройство в удобную мишень для хакеров. Отсутствие очистки пользовательского ввода - классическая проблема, которую должны отслеживать все производители сетевого оборудования. Пользователям же остаётся быть внимательными: не пренебрегать настройками безопасности, регулярно проверять наличие обновлений прошивки и, по возможности, выбирать маршрутизаторы от компаний, которые оперативно закрывают критические уязвимости.
Поскольку точных сроков выхода патча пока нет, специалисты советуют в кратчайшее время применить хотя бы одну из перечисленных компенсирующих мер. В противном случае любое устройство N300RH, подключённое к интернету с открытым веб-интерфейсом, может быть скомпрометировано в течение нескольких минут после сканирования сети злоумышленником. Учитывая, что эксплойт общедоступен, владельцам маршрутизаторов стоит действовать незамедлительно.
Ссылки
- https://bdu.fstec.ru/vul/2026-07424
- https://www.cve.org/CVERecord?id=CVE-2026-9543
- https://github.com/A1ester/TOTOLINK-N300RH-Command-Injection
- https://github.com/A1ester/TOTOLINK-N300RH-Command-Injection/blob/main/TOTOLINK%20N300RH%20Command%20Injection%20Vulnerability.md
- https://vuldb.com/submit/815068
