В начале декабря 2025 года в Национальном банке данных уязвимостей (BDU) была подтверждена критическая уязвимость в популярных роутерах TOTOLINK N300RT. Проблема, получившая идентификатор BDU:2025-15265 и CVE-2025-34319, связана с ошибкой типа "внедрение в команду операционной системы" (OS Command Injection) в функции "formWsc()" микропрограммного обеспечения. Уязвимость затрагивает устройства с версией ПО до 3.4.0-B20250430.
Детали уязвимости
Согласно описанию, проблема возникает из-за того, что устройство не проверяет и не обезвреживает специальные элементы в параметре "targetAPSsid". Злоумышленник, действующий удаленно без аутентификации, может отправить специально сформированный запрос. В результате он получает возможность выполнять произвольные команды на операционной системе роутера с максимальными привилегиями.
Все три основные версии системы оценки CVSS присваивают уязвимости критический уровень опасности. Базовая оценка CVSS 2.0 достигает максимальных 10.0 баллов, что подчеркивает серьезность угрозы. Версия CVSS 3.1 оценивает уязвимость в 9.8 баллов, а актуальная CVSS 4.0 - в 9.3 балла. Все векторы атаки указывают на то, что эксплуатация возможна из сети (Network) без аутентификации (PR:N) и не требует взаимодействия с пользователем (UI:N). При этом под угрозой находятся конфиденциальность (C:H), целостность (I:H) и доступность (A:H) системы.
Эксплуатация данной уязвимости открывает злоумышленникам широкие возможности. Например, они могут полностью перехватить управление роутером, изменить его конфигурацию для перенаправления трафика или организации атаки "человек посередине" (Man-in-the-Middle). Кроме того, возможна установка вредоносного программного обеспечения (malicious software), включая программы-вымогатели (ransomware), или создание точки постоянного присутствия (persistence) в сети для дальнейших атак. Уязвимость также может быть использована для включения устройства в ботнет или для атаки на другие устройства во внутренней сети.
Производитель TOTOLINK подтвердил наличие уязвимости и выпустил исправление. Пользователям настоятельно рекомендуется обновить микропрограммное обеспечение до версии V3.4.0-B20250430 или новее. Обновление можно загрузить с официального сайта компании. Стоит отметить, что в связи с текущей геополитической обстановкой и санкциями, ФГУП "ГосНИИАС", который ведет базу BDU, рекомендует устанавливать обновления только после тщательной оценки всех сопутствующих рисков.
Если немедленное обновление невозможно, эксперты по кибербезопасности советуют применить ряд компенсирующих мер. В первую очередь, необходимо ограничить удаленный доступ к веб-интерфейсу роутера из интернета, используя настройки межсетевого экрана. Эффективной мерой является организация доступа по схеме "белого списка", когда разрешены подключения только с доверенных IP-адресов. Для мониторинга и предотвращения атак рекомендуется задействовать системы обнаружения и предотвращения вторжений (IDS/IPS).
Кроме того, для безопасного удаленного управления устройством следует использовать виртуальные частные сети (VPN). Важно помнить, что уязвимость эксплуатируется удаленно, поэтому физическая изоляция роутера от прямого доступа из глобальной сети значительно снижает риск. На данный момент информация о наличии публичных эксплойтов, использующих эту уязвимость, уточняется. Однако высокая оценка CVSS и простота эксплуатации делают вероятным появление таких инструментов в ближайшее время.
Этот инцидент лишний раз демонстрирует важность регулярного обновления прошивок сетевого оборудования. Роутеры часто остаются без внимания пользователей, превращаясь в слабое звено в корпоративной и домашней сетевой безопасности. Своевременная установка патчей - это базовая, но критически важная мера защиты от подобных угроз.
Ссылки
- https://bdu.fstec.ru/vul/2025-15265
- https://www.cve.org/CVERecord?id=CVE-2025-34319
- https://www.totolink.net/home/menu/detail/menu_listtpl/download/id/154/ids/36.html
- https://www.vulncheck.com/advisories/totolink-n300rt-boa-formwsc-rce
- https://totolink.tw/support_view/N300RT
