Специалисты по кибербезопасности обнаружили критическую уязвимость в популярных домашних маршрутизаторах TOTOLINK модели N300RH. Уязвимость, получившая идентификаторы BDU:2026-02537 и CVE-2026-3301, позволяет удалённому злоумышленнику выполнить произвольные команды на устройстве, что фактически означает полный контроль над ним. Данная проблема затрагивает микропрограммное обеспечение (прошивку) и уже подтверждена для двух версий: 6.1c.1353_B20190305 и 6.1c.1349_B20181018.
Детали уязвимости
Суть уязвимости кроется в функции "setWebWlanIdx", которая обрабатывает входящие данные для настройки беспроводной сети. Разработчики не реализовали должную проверку и очистку (санитизацию) пользовательского ввода. Следовательно, атакующий может внедрить в передаваемые параметры специальные команды операционной системы, которые маршрутизатор выполнит с высокими привилегиями. Этот класс атак известен как внедрение команд операционной системы (OS Command Injection). Фактически, через веб-интерфейс управления устройством можно передать вредоносную нагрузку, которая будет исполнена.
Уровень угрозы оценивается как крайне высокий. Системы оценки CVSS присвоили уязвимости максимальные или близкие к максимальным баллы. В частности, базовая оценка по CVSS 3.1 составляет 9.8 из 10, что соответствует критическому уровню опасности. Такая высокая оценка обусловлена несколькими факторами. Во-первых, для эксплуатации не требуются никакие специальные условия или права доступа (PR:N). Во-вторых, атака может быть проведена удалённо через сеть (AV:N) без какого-либо взаимодействия с пользователем (UI:N). В-третьих, успешная атака приводит к полной компрометации устройства: нарушению конфиденциальности, целостности и доступности (C:H/I:H/A:H).
Наличие рабочего эксплойта в открытом доступе, ссылка на который уже опубликована в открытых репозиториях, многократно увеличивает актуальность угрозы. Это означает, что даже начинающие злоумышленники могут попытаться атаковать незащищённые устройства. Цели атак могут быть различными. Например, злоумышленник может изменить настройки DNS, чтобы перенаправлять трафик на фишинговые сайты, или включить устройство в ботнет для проведения масштабных DDoS-атак. Более того, получив контроль над маршрутизатором, который является шлюзом в домашней сети, злоумышленник потенциально может атаковать другие подключённые устройства, такие как компьютеры, камеры или умные колонки.
К сожалению, на данный момент официальное исправление от производителя, компания TOTOLink, не выпущено. Статус уязвимости и информация об устранении, согласно данным из Банка данных угроз (BDU), всё ещё уточняются. Это оставляет тысячи пользователей без официального патча. Однако существуют эффективные компенсирующие меры, которые могут значительно снизить риск эксплуатации.
Эксперты настоятельно рекомендуют немедленно принять ряд защитных мер. Прежде всего, необходимо ограничить удалённый доступ к веб-интерфейсу маршрутизатора из интернета. Идеальным решением будет полное отключение функции управления через глобальную сеть. Доступ к настройкам должен осуществляться только из локальной сети. Дополнительно следует обеспечить строгую парольную политику, используя сложный уникальный пароль для администрирования устройства. Сегментация сети, хотя и сложна для домашних пользователей, также является хорошей практикой, позволяющей изолировать критически важные устройства.
Для корпоративных пользователей, которые могут использовать подобные устройства, рекомендации более строгие. Необходимо задействовать межсетевые экраны для фильтрации входящего трафика и системы обнаружения и предотвращения вторжений (IDS/IPS). Эти системы могут быть настроены на выявление аномальных попыток доступа к веб-интерфейсам сетевого оборудования. Организация удалённого доступа к внутренней сети должна происходить исключительно через защищённые виртуальные частные сети (VPN), а не через проброс портов маршрутизатора.
Данный инцидент в очередной раз подчёркивает важность безопасности интернета вещей (IoT). Производители часто выпускают устройства с уязвимым программным обеспечением, а затем медленно реагируют на обнаруженные проблемы. Пользователям же рекомендуется регулярно проверять сайты производителей на наличие обновлений прошивки, даже при отсутствии публичных уведомлений об уязвимостях. В текущей ситуации владельцам маршрутизаторов TOTOLINK N300RH следует внимательно следить за официальными источниками компании TOTOLink в ожидании выхода патча, параллельно применяя все возможные компенсирующие меры для защиты своей сети от внешнего вмешательства.
Ссылки
- https://bdu.fstec.ru/vul/2026-02537
- https://www.cve.org/CVERecord?id=CVE-2026-3301
- https://github.com/xyh4ck/iot_poc/blob/main/TOTOLINK/N300RHv4/01_setWebWlanIdx_RCE/README.md
