Критические бэкдоры в маршрутизаторах D-Link: забытые пароли открывают шлюз для хакеров

В Банке данных угроз безопасности информации (BDU) и базе уязвимостей CVE (международный реестр известных уязвимостей) появилась информация сразу о четырех критических уязвимостях в маршрутизаторах D-Link - BDU:2026-06317 (CVE-2026-42375), BDU:2026-06318 (CVE-2026-42374), BDU:2026-06320 (CVE-2026-42373), BDU:2026-06321 (CVE-2026-42376). Речь идет о моделях DIR-600L (две версии), DIR-605L и DIR-456U. Все эти устройства уже давно сняты с производства и не получают обновлений прошивки. Но самое тревожное - производитель подтвердил наличие проблемы, а в открытом доступе уже есть эксплойты. Ситуация крайне опасная для всех, кто до сих пор эксплуатирует это оборудование.

Детали уязвимостей

В чем же суть проблемы? Если говорить просто, инженеры D-Link оставили в коде так называемые "чёрные ходы", или бэкдоры, - учетные записи с жёстко прописанными паролями. Для каждой модели используется свой уникальный набор символов. Например, для одной из версий DIR-600L это комбинация wrgn35_dlwbr_dir600l, для другой - wrgn61_dlwbr_dir600L. Роутер DIR-605L защищался паролем wrgn76_dlwbr_dir605L, а DIR-456U - whdrv01_dlob_dir456U. Все эти строки являются статическими, то есть они не меняются и не генерируются случайным образом. Достаточно знать эту комбинацию, чтобы получить полный контроль над маршрутизатором.

Особую опасность добавляет то, что служба Telnet, через которую происходит подключение, по умолчанию включена на этих устройствах. Telnet - это старый протокол удалённого доступа, который передаёт все данные, включая пароли, в открытом виде. Таким образом, злоумышленнику даже не нужно перехватывать трафик. Он просто подключается к маршрутизатору по сети, вводит статический пароль для учётной записи Alphanetworks и получает полные права администратора. После этого он может не только украсть данные, которые проходят через маршрутизатор, но и изменить его настройки или использовать устройство для атак на другие системы в сети.

Базовый вектор уязвимости по шкале CVSS 3.1 получил оценку 9,8 из 10 возможных. Это критический уровень опасности. Атака может быть выполнена удалённо, для неё не нужны никакие учётные данные или взаимодействие с пользователем. Достаточно только доступа к сети. Учитывая, что такие маршрутизаторы часто используются в малом бизнесе, домашних сетях и даже в некоторых государственных учреждениях, масштаб потенциального ущерба огромен.

Корень зла кроется в архитектурной ошибке, которую специалисты классифицируют как CWE-259 (жёсткое кодирование паролей) и CWE-798 (жёсткое кодирование регистрационных данных). Просто говоря, разработчики вшили пароль прямо в программный код вместо того, чтобы заставлять пользователя придумывать его при первом включении. Это грубейшее нарушение базовых принципов безопасности. В 2026 году такие ошибки кажутся анахронизмом, но они продолжают находить, причём в оборудовании, которое всё ещё работает в тысячах сетей.

Последствия эксплуатации могут быть самыми серьёзными. Во-первых, злоумышленник получает полный доступ ко всем данным, которые проходят через этот маршрутизатор. Это может быть как трафик обычного пользователя, так и служебная информация небольшой компании. Во-вторых, атакующий может повысить свои привилегии и попытаться проникнуть в другие устройства внутри сети. В-третьих, маршрутизатор сам по себе становится платформой для атак: его могут включить в ботнет (сеть заражённых устройств) или использовать для рассылки спама и вредоносного ПО.

На данный момент производитель не выпускает и не планирует выпускать исправления, поскольку срок поддержки всех перечисленных моделей давно истёк. Это означает, что устройства останутся уязвимыми навсегда. Единственный радикальный способ защиты - заменить устаревший маршрутизатор на современный и поддерживаемый. Однако специалистам по информационной безопасности, которые пока не могут обновить оборудование, стоит применить компенсирующие меры.

Прежде всего нужно отключить протокол Telnet, если это возможно через веб-интерфейс. Если такой опции нет, следует ограничить доступ к порту 23 на межсетевом экране. Важно настроить правила так, чтобы из внешней сети подключиться к маршрутизатору было невозможно. В идеале уязвимые устройства стоит изолировать в отдельном сетевом сегменте, чтобы в случае взлома злоумышленник не мог перекинуться на другие системы. Также рекомендуется использовать виртуальные частные сети (VPN) для удалённого доступа и системы обнаружения вторжений, которые могут зафиксировать попытки подбора пароля или необычную активность.

Инцидент с маршрутизаторами D-Link - это яркий пример проблемы, которая называется "устаревшее оборудование". Производители часто прекращают поддержку через несколько лет после выхода модели на рынок, но эти устройства продолжают работать в сетях. И каждый раз, когда вскрывается подобная уязвимость, владельцы оказываются перед сложным выбором: либо мириться с риском, либо тратить деньги на замену. В данном случае цена вопроса - не только стоимость нового маршрутизатора, но и потенциальный ущерб от утечки данных или атаки, которая может остановить бизнес на несколько дней.

Ситуация осложняется тем, что в открытом доступе уже есть эксплойты. Это значит, что для атаки не нужно быть хакером экстра-класса. Любой злоумышленник может скачать готовую программу, ввести IP-адрес уязвимого маршрутизатора и получить к нему доступ. В ближайшие недели стоит ожидать волну сканирования интернета в поисках таких устройств. Те, кто не предпримет меры, рискуют стать жертвой относительно простой, но крайне эффективной атаки.

Подводя итог, можно сказать, что обнаруженные уязвимости в маршрутизаторах D-Link - это не просто очередная запись в базах BDU и CVE. Это реальная угроза, от которой пострадают те, кто игнорирует предупреждения. Если в вашей сети или в сети ваших клиентов до сих пор работает DIR-600L, DIR-605L или DIR-456U, самое время заняться его заменой. Откладывать это решение больше нельзя.

Детали уязвимостей

Ссылки