Эксперты по кибербезопасности предупреждают о высокой опасности уязвимости, обнаруженной в микропрограммном обеспечении целой линейки популярных Wi-Fi усилителей и ретрансляторов производства Linksys. Идентифицированная как CVE-2025-9244 и внесенная в Банк данных угроз безопасности информации (BDU) под номером BDU:2025-15465, эта проблема позволяет удаленному злоумышленнику выполнять произвольные команды на уязвимом устройстве, что ставит под угрозу всю домашнюю или корпоративную сеть. Уязвимость затрагивает модели RE6250, RE6300, RE6350, RE6500, RE7000 и RE9000.
Детали уязвимости
Техническая суть проблемы заключается в недостаточной фильтрации пользовательского ввода в функции "addStaticRoute()", доступной через веб-интерфейс управления устройством. Эта функция, предназначенная для добавления статических маршрутов, некорректно обрабатывает специальные символы. Следовательно, атакующий может внедрить и выполнить произвольные команды операционной системы устройства. В терминологии MITRE ATT&CK такая атака классифицируется как "Внедрение команд". Уязвимость относится к классу ошибок внедрения команд операционной системы (CWE-78), возникающих из-за отсутствия санации, то есть очистки, входных данных.
Оценка по методологии CVSS (Common Vulnerability Scoring System) подчеркивает серьезность угрозы. Базовая оценка CVSS 3.1 достигает 8.8 баллов, что соответствует высокому уровню опасности. Ключевыми факторами являются полная аутентификация злоумышленника (UI:N), низкая сложность эксплуатации (AC:L) и возможность атаки по сети (AV:N). Успешная эксплуатация приводит к полному компрометированию устройства, позволяя нарушителю получить контроль над его конфигурацией, перехватывать трафик или использовать ретранслятор как точку входа для атак на другие устройства в сети.
Особую тревогу вызывает тот факт, что, согласно данным BDU, эксплойт для этой уязвимости уже существует в открытом доступе. Это значительно снижает порог для киберпреступников, делая атаку доступной даже для малоопытных злоумышленников. На данный момент статус устранения уязвимости и информация о доступных патчах уточняются вендором, Linksys Holdings, Inc. Между тем, пользователям уязвимых моделей настоятельно рекомендуется принять срочные компенсирующие меры для снижения риска.
Специалисты рекомендуют немедленно ограничить или полностью отключить возможность удаленного управления устройством из внешних сетей, включая интернет. Кроме того, следует запретить использование незащищенных протоколов, таких как HTTP, для администрирования, перейдя на HTTPS. Крайне важно сегментировать сеть, изолировав уязвимые устройства от критически важных сегментов. Это ограничит потенциальный ущерб в случае успешной атаки. Также эффективной мерой является использование межсетевого экрана для фильтрации входящего трафика к веб-интерфейсу ретранслятора.
Дополнительный уровень защиты могут обеспечить системы обнаружения и предотвращения вторжений (IDS/IPS). Эти системы способны выявлять и блокировать известные шаблоны атак, связанные с внедрением команд. Для безопасного удаленного администрирования следует использовать виртуальные частные сети (VPN), которые создают зашифрованный туннель для доступа к внутренней сети. Наконец, необходимо строго соблюдать надежную парольную политику для доступа к интерфейсу устройства, используя сложные уникальные пароли.
Обнаружение этой уязвимости в потребительском сетевом оборудовании вновь поднимает вопрос о безопасности интернета вещей (IoT). Устройства, которые часто остаются без обновлений годами, становятся легкой мишенью для злоумышленников. В данном случае уязвимость позволяет получить полный контроль над устройством, что может быть использовано для развертывания ботнетов, скрытого майнинга криптовалюты или кражи конфиденциальных данных пользователей. В худшем сценарии, скомпрометированный ретранслятор может служить плацдармом для распространения вредоносного ПО, включая программы-вымогатели (ransomware), внутри сети.
Пользователям оборудования Linksys следует внимательно следить за официальными объявлениями вендора на предмет выхода обновлений микропрограммного обеспечения. Установка патча, как только он станет доступен, является единственным полноценным способом устранения уязвимости. До тех пор применение всех рекомендованных компенсирующих мер критически важно для обеспечения безопасности. Этот инцидент служит важным напоминанием о необходимости регулярного аудита и обновления всего сетевого оборудования, даже такого, как Wi-Fi усилители, безопасность которых часто остается без должного внимания.
Ссылки
- https://bdu.fstec.ru/vul/2025-15465
- https://www.cve.org/CVERecord?id=CVE-2025-9244
- https://github.com/wudipjq/my_vuln/blob/main/Linksys/vuln_11/11.md
- https://vuldb.com/?id.320775
- https://vuldb.com/?ctiid.320775
- https://vuldb.com/?submit.631517
