В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьёзная уязвимость в популярных маршрутизаторах TOTOLink X6000R. Уязвимость, получившая идентификаторы BDU:2026-02542 и CVE-2025-70328, оценивается как высокоопасная. Она позволяет удалённому злоумышленнику с привилегиями учётной записи выполнять произвольные команды на устройстве, фактически получая над ним полный контроль. Данная проблема затрагивает микропрограммное обеспечение версии 9.4.0cu.1498_b20250826.
Детали уязвимости
Суть уязвимости кроется в функции "NTPSyncWithHost", которая является частью встроенного веб-сервера "/usr/sbin/shttpd". Специалисты выявили недостатки, классифицируемые как CWE-78 (внедрение команд операционной системы) и CWE-94 (внедрение кода). Грубо говоря, обработчик некорректно проверяет входные данные, позволяя злоумышленнику внедрять в команды специальные символы. Следовательно, атакующий может модифицировать исполняемые системные инструкции для достижения своих целей.
Уровень угрозы подтверждается высокими оценками по шкале CVSS. Базовый балл CVSS 2.0 составляет 9.0, а CVSS 3.1 - 8.8. Согласно векторам атаки, уязвимость эксплуатируется удалённо через сеть (Network). Для успешной атаки злоумышленнику требуются лишь низкие привилегии (Low) на аутентификацию, а сложность эксплуатации оценивается как низкая. Успешная компрометация приводит к полному нарушению конфиденциальности, целостности и доступности системы.
Важно отметить, что, согласно данным BDU, эксплойт для этой уязвимости уже существует в открытом доступе. Это резко повышает риски, поскольку снижает порог входа для киберпреступников. Таким образом, злоумышленники могут активно сканировать интернет в поисках незащищённых устройств TOTOLink X6000R для последующих атак.
В настоящий момент производитель, компания TOTOLink, не предоставил официальных исправлений или патчей. Статус уязвимости, а также информация о способе её устранения остаются на стадии уточнения. Однако эксперты рекомендуют администраторам и пользователям немедленно принять компенсирующие меры для снижения риска. В частности, следует ограничить удалённый доступ к веб-интерфейсу маршрутизатора из интернета, используя настройки межсетевого экрана. Кроме того, эффективной практикой является сегментация сети, которая изолирует критически важные сегменты. Для безопасного удалённого администрирования необходимо использовать виртуальные частные сети (VPN).
Данный инцидент в очередной раз подчёркивает важность безопасности интернета вещей (IoT). Маршрутизаторы, будучи сетевыми шлюзами, являются крайне привлекательной мишенью для атак. После компрометации такое устройство может быть использовано для кражи данных, организации атак типа "человек посередине" (Man-in-the-Middle), скрытного майнинга криптовалюты или включения в ботнет. В более сложных сценариях уязвимость может стать точкой входа для продвинутой постоянной угрозы (APT), целью которой является вся корпоративная сеть.
Пока официального исправления нет, пользователям рекомендуется регулярно мониторить официальный сайт TOTOLink на предмет выхода обновлений микропрограмм. В качестве дополнительной меры безопасности можно рассмотреть возможность отключения неиспользуемых сервисов на маршрутизаторе. Между тем, информированность о подобных угрозах и своевременное применение компенсирующих мер являются ключевыми элементами современной кибергигиены. Специалисты по безопасности продолжают исследовать уязвимость, и в открытых источниках, таких как GitHub, уже опубликованы технические детали её работы.
Ссылки
- https://bdu.fstec.ru/vul/2026-02542
- https://www.cve.org/CVERecord?id=CVE-2025-70328
- https://github.com/neighborhood-H/0-DAY/blob/main/Toto-link/X6000R/NTPSyncWihtHost/report.md
- https://www.notion.so/TOTOLINK-X6000R-NTPSyncWithHost-2d170566ca7f803a8096c1b31b2ed42f
