Исследователи кибербезопасности обнаружили критическую уязвимость в сетевых устройствах XSpeeder, позволяющую злоумышленникам выполнять произвольный код с правами суперпользователя без какой-либо аутентификации. Уязвимость, получившая идентификатор CVE-2025-54322, затрагивает более 70 000 устройств XSpeeder SXZOS, публично доступных в интернете. Эти системы широко распространены в удалённых промышленных и офисных сетях по всему миру, создавая обширную поверхность для атак.
Детали уязвимости
По данным исследовательской группы Pwn.ai, десятки тысяч устройств на базе XSpeeder открыты для публичного доступа. Уязвимость относится к категории критических, поскольку для её эксплуатации не требуются учётные данные. Следовательно, злоумышленник может получить полный контроль над устройством, отправив всего один специально сформированный HTTP-запрос. Техническая суть проблемы кроется в веб-слое аутентификации прошивки SXZOS.
В ходе автономного анализа прошивки и последующей проверки исследователи выявили точку входа для выполнения кода до аутентификации. Уязвимость обходит несколько уровней поверхностной защиты, включая проверку заголовка с синхронизированным по времени одноразовым номером, валидацию сессионных кук и примитивное сканирование полезной нагрузки. Ключевой причиной уязвимости является небезопасное использование функции eval() для обработки ввода пользователя, декодированного из параметров запроса.
Таким образом, обойдя упрощённые механизмы защиты, злоумышленник может внедрить произвольный код на Python и выполнить системные команды с привилегиями root. На момент публикации уязвимость не закрыта производителем. Примечательно, что исследователи отмечают полное отсутствие реакции со стороны вендора XSpeeder на многомесячные попытки скоординированного раскрытия информации об уязвимости. Данная публикация была выбрана для первого открытого разглашения именно из-за безответственности производителя.
Этот инцидент наглядно демонстрирует критические риски, создаваемые неотзывчивыми вендорами в сфере промышленных и корпоративных сетей, где выпуск исправлений безопасности часто значительно отстаёт от обнаружения угроз. Организациям, использующим устройства XSpeeder SXZOS, настоятельно рекомендуется немедленно изолировать их от ненадёжных сетей и реализовать контроль доступа на сетевом уровне. В качестве временных мер специалисты советуют ограничить доступ к веб-интерфейсам этих устройств только доверенным IP-адресам через межсетевые экраны.
Эксперты также подчёркивают, что данная уязвимость стала первой удалённо эксплуатируемой "уязвимостью нулевого дня" (zero-day), обнаруженной и опубликованной с помощью методов автономного тестирования на проникновение. Этот случай подчёркивает растущие возможности искусственного интеллекта в области поиска уязвимостей, которые могут выявлять критические недостатки, упускаемые традиционными методами аудита. Угроза особенно серьезна, учитывая роль таких устройств в критически важной инфраструктуре, где компрометация может привести к остановке производства или утечке конфиденциальных данных.
