В конце ноября 2025 года была обнаружена и официально подтверждена компанией ASUS критическая уязвимость в её облачной платформе AiCloud. Этот сервис, встроенный во многие маршрутизаторы и сетевые хранилища (NAS) производителя, позволяет пользователям удалённо получать доступ к личным файлам. Согласно данным из базы уязвимостей BDU:2025-15550, уязвимость, получившая идентификатор CVE-2025-59366, оценивается по максимально возможному уровню опасности. Эксплуатация этой уязвимости потенциально позволяет злоумышленнику получить полный контроль над уязвимым устройством.
Детали уязвимости
Техническая суть проблемы заключается в двух взаимосвязанных ошибках. Первая - это некорректное ограничение пути к каталогу (path traversal), что в просторечии называют "обходом пути". Вторая - недостаточная нейтрализация специальных элементов, ведущая к возможности внедрения команд операционной системы. На практике это означает, что удалённый атакующий может манипулировать запросами к облачному сервису. Следовательно, он способен выйти за пределы предназначенных для пользователя директорий и выполнить произвольные вредоносные команды на устройстве. Итогом такой атаки становится полная компрометация устройства.
Под угрозой находятся устройства с установленными версиями микропрограммного обеспечения AiCloud 3.0.0.4_386, 3.0.0.4_388 и 3.0.0.6_102. Оценки по всем актуальным версиям системы CVSS (Common Vulnerability Scoring System) указывают на критическую серьёзность угрозы. Базовый балл CVSS 3.1 достигает 9.8 из 10, что автоматически относит уязвимость к высшему уровню опасности. Система оценивает вектор атаки как сетевой, не требующий специальных привилегий или взаимодействия с пользователем для успешной эксплуатации.
Для владельцев устройств ASUS с активной функцией AiCloud данная новость служит серьёзным сигналом к действию. Уязвимость уже устранена производителем, поэтому основная и единственная рекомендуемая мера защиты - немедленное обновление микропрограммного обеспечения. Компания ASUSTeK Computer Inc. опубликовала соответствующие исправления и рекомендации на своём официальном портале кибербезопасности. Пользователям необходимо зайти в веб-интерфейс управления своим маршрутизатором или сетевым хранилищем, найти раздел обновления прошивки и установить последнюю доступную версию.
Важно отметить, что на момент публикации информации в базе BDU данные о наличии активных эксплойтов, использующих эту уязвимость, уточняются. Однако высочайший рейтинг опасности и относительная простота потенциальной эксплуатации делают затягивание с обновлением крайне рискованной стратегией. Подобные уязвимости в сетевом оборудовании особенно привлекательны для злоумышленников, поскольку компрометация маршрутизатора часто открывает путь ко всем устройствам в домашней сети. Таким образом, угроза выходит далеко за рамки потери контроля над одним сетевым аппаратным средством.
Данный инцидент в очередной раз подчёркивает важность регулярного обновления прошивок не только компьютеров и смартфонов, но и всего сетевого оборудования. Маршрутизаторы и NAS, выполняющие роль шлюзов и хранилищ данных, давно стали мишенью для сложных атак. Производители, со своей стороны, обязаны оперативно реагировать на обнаруженные уязвимости и предоставлять пользователям удобные инструменты для закрытия брешей. К счастью, в случае с CVE-2025-59366 компания ASUS оперативно отреагировала, выпустив патчи. Теперь ответственность за безопасность переходит к конечным пользователям, которым необходимо установить предоставленные исправления.
Ссылки
- https://bdu.fstec.ru/vul/2025-15550
- https://www.cve.org/CVERecord?id=CVE-2025-59366
- https://www.asus.com/content/security-advisory/
