В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, затрагивающая популярные маршрутизаторы производства компании WAVLINK TECHNOLOGY Ltd. Уязвимость, получившая идентификаторы BDU:2026-02350 и CVE-2026-2529, позволяет удаленному злоумышленнику полностью скомпрометировать устройство, что ставит под угрозу конфиденциальность, целостность и доступность данных пользователей.
Детали уязвимости
Уязвимость обнаружена в микропрограммном обеспечении модели маршрутизатора Wavlink WL-WN579A3, конкретно в версии от 19 февраля 2021 года (20210219). Проблема кроется в функции "DeleteMac" сценария "/cgi-bin/wireless.cgi". Технически, это классический случай "инъекции" (CWE-74, CWE-77), когда система не проводит должной очистки входных данных на управляющем уровне. В результате, специально сформированные данные в параметре "delete_list" могут быть интерпретированы как команды для выполнения.
Уровень угрозы оценивается как критический по всем основным метрикам. Базовый балл по шкале CVSS 3.1 достигает 9.8 из 10.0. Это означает, что для эксплуатации уязвимости не требуется ни аутентификации злоумышленника (PR:N), ни взаимодействия с пользователем (UI:N). Более того, атака может быть проведена удаленно через сеть (AV:N) с низкой сложностью (AC:L). В случае успешной атаки, злоумышленник получает возможность выполнять произвольные команды на устройстве с максимальными привилегиями, что приводит к полной компрометации конфиденциальности (C:H), целостности (I:H) и доступности (A:H) системы.
Уже подтверждено, что эксплойт существует в открытом доступе. Следовательно, риск массовых автоматизированных атак крайне высок. Злоумышленники могут использовать данную уязвимость для кражи конфиденциальной информации, проходящей через маршрутизатор, изменения настроек сети, установки вредоносного программного обеспечения или создания точки постоянного присутствия (persistence) в сети жертвы для последующих атак. В худшем сценарии устройство может быть превращено в часть ботнета или использовано для развертывания программ-вымогателей (ransomware).
К сожалению, на текущий момент официальные меры по устранению уязвимости от вендора, включая выпуск патча, не анонсированы. Статус исправления и информация об устранении уточняются. Однако эксперты рекомендуют немедленно применить комплекс компенсирующих мер для снижения риска.
В первую очередь, необходимо строго ограничить или полностью запретить удаленный доступ к веб-интерфейсу маршрутизатора из интернета. Крайне важно сегментировать сеть, изолировав уязвимое устройство от критически важных систем. Следует обеспечить использование сложных уникальных паролей для доступа к административной панели управления. Дополнительно, рекомендуется задействовать средства обнаружения и предотвращения вторжений (IDS/IPS) для мониторинга сетевой активности на предмет попыток эксплуатации данной уязвимости. Организациям стоит рассмотреть возможность использования виртуальных частных сетей (VPN) для безопасного удаленного администрирования вместо открытия портов напрямую в интернет.
Данный инцидент в очередной раз подчеркивает важность проактивной кибергигиены для устройств интернета вещей (IoT). Владельцам оборудования Wavlink WL-WN579A3 следует внимательно следить за официальными каналами производителя в ожидании выхода обновления микропрограммы. До тех пор применение строгих компенсирующих мер является единственным способом защиты. Эксперты также рекомендуют рассматривать подобные уязвимости в контексте тактик и техник, описанных в матрице MITRE ATT&CK, особенно таких, как "Исполнение через уязвимость" и "Создание точки постоянного присутствия".
Ссылки
- https://bdu.fstec.ru/vul/2026-02350
- https://www.cve.org/CVERecord?id=CVE-2026-2529
- https://github.com/MRAdera/IoT-Vuls/blob/main/wavlink/wn579a3/DeleteMac.md
