В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость в популярных маршрутизаторах TOTOLink A3600R. Уязвимость, получившая идентификаторы BDU:2026-05167 и CVE-2026-31027, позволяет злоумышленнику удаленно захватить полный контроль над устройством. Эксперты оценивают угрозу как крайне серьезную, поскольку подробности эксплуатации уже опубликованы в открытом доступе.
Детали уязвимости
Проблема кроется в микропрограммном обеспечении маршрутизатора версии 5.9c.4959. Конкретно, уязвима функция "setAppEasyWizardConfig", отвечающая за настройки. Разработчики допустили классическую ошибку переполнения буфера (CWE-120). Другими словами, функция без каких-либо проверок копирует в буфер данные, полученные извне. Если злоумышленник отправит специально сформированный избыточный запрос, он может перезаписать критически важные области памяти устройства.
Возможные последствия такой эксплуатации являются наихудшими из возможных. Во-первых, атакующий может вызвать отказ в обслуживании, просто "положив" устройство перезагрузкой или зависанием. Однако гораздо опаснее второй сценарий. Используя технику манипулирования структурами данных, злоумышленник способен перенаправить выполнение кода. В результате он может запустить на маршрутизаторе произвольный вредоносный код (payload). Это дает полный контроль: от перехвата трафика и кражи учетных данных до создания точки входа для атаки на другие устройства во внутренней сети.
Уровень опасности подтверждается максимальными оценками по шкале CVSS. Система CVSS 2.0 присваивает уязвимости базовый балл 10.0, а более современная CVSS 3.1 - 9.8. Обе оценки соответствуют критическому уровню. Ключевые факторы риска - возможность атаки через сеть (AV:N) без необходимости аутентификации (PR:N) или каких-либо действий со стороны пользователя (UI:N). Более того, успешная эксплуатация ведет к полной компрометации конфиденциальности, целостности и доступности системы (C:H/I:H/A:H).
Главную озабоченность специалистов вызывает статус эксплойта. Информация о том, как именно использовать эту уязвимость, уже размещена в публичном репозитории на GitHub. Следовательно, даже начинающие хакеры могут быстро создать и запустить атаку. Владельцам уязвимых маршрутизаторов TOTOLink A3600R необходимо действовать незамедлительно.
К сожалению, на данный момент окончательное решение от производителя отсутствует. В описании уязвимости статус и способ устранения значатся как "уточняются". Это означает, что патча или обновленной прошивки пока нет. Поэтому пользователям крайне важно применить комплекс компенсирующих мер для снижения риска.
Прежде всего, необходимо полностью закрыть доступ к веб-интерфейсу управления маршрутизатором из интернета. Данную опцию следует проверить в настройках устройства. Кроме того, эффективной практикой является сегментация сети. Иными словами, критически важное оборудование нужно размещать в изолированных сегментах, куда нет доступа с потенциально скомпрометированных устройств. Для безопасного удаленного администрирования рекомендуется использовать виртуальные частные сети (VPN).
На уровне сетевой инфраструктуры можно задействовать дополнительные средства защиты. Например, межсетевой экран уровня приложений (WAF) способен фильтровать входящий трафик и блокировать подозрительные запросы, направленные на эксплуатацию уязвимости. Также полезны системы обнаружения и предотвращения вторжений (IDS/IPS). Эти системы настроены на выявление известных аномальных паттернов в сетевой активности.
Обнаружение данной уязвимости подчеркивает постоянные риски, связанные с оборудованием класса "Интернета вещей" (IoT). Часто производители уделяют недостаточно внимания безопасности прошивок, что приводит к фундаментальным ошибкам. Пользователям следует проявлять бдительность. В частности, нужно регулярно проверять официальные сайты вендоров на наличие обновлений безопасности. Также важно следить за отчетами в таких системах, как BDU или CVE.
В заключение, уязвимость в маршрутизаторах TOTOLink A3600R представляет собой серьезную угрозу. Поскольку эксплойт общедоступен, а исправления от производителя пока нет, волна атак может начаться в любой момент. Владельцам данного оборудования настоятельно рекомендуется немедленно реализовать все возможные компенсирующие меры. Главный приоритет - это изоляция устройства от прямого доступа из глобальной сети и мониторинг сетевой активности на предмет подозрительных действий.
Ссылки
- https://bdu.fstec.ru/vul/2026-05167
- https://www.cve.org/CVERecord?id=CVE-2026-31027
- https://github.com/SunnyYANGyaya/cuicuishark-sheep-fishIOT/blob/main/ToTolink/A3600R/rootSsid-setAppEasyWizardConfig.md
