В Банк данных угроз безопасности информации (BDU) были внесены записи о двух критических уязвимостях, затрагивающих маршрутизаторы D-Link модели DI-8100. Обе проблемы обнаружены в версии микропрограммного обеспечения 16.07.26A1 и получили максимальные оценки по шкалам CVSS. Первая уязвимость, зарегистрированная под идентификатором BDU:2026-06315 (CVE-2026-7853), позволяет удалённо выполнить произвольный код на устройстве. Вторая, BDU:2026-06316 (CVE-2026-7854), даёт возможность нарушителю вызвать отказ в обслуживании. Следует подчеркнуть: на момент публикации официальные обновления от производителя отсутствуют, а коды для эксплуатации обеих проблем уже опубликованы в открытом доступе.
Детали уязвимостей
Обе уязвимости относятся к классу ошибок работы с памятью. Точнее, это так называемое переполнение буфера - ситуация, когда программа записывает в отведённую область памяти больше данных, чем та способна вместить. В результате соседние участки памяти повреждаются, что злоумышленник может использовать для подмены команд или данных. В данном случае виновата функция sprintf(), отвечающая за форматирование строк в веб-сервере jhttpd. При обработке HTTP-запроса со специально сформированными параметрами enable и time система не проверяет длину входящих данных и копирует их за границу выделенного буфера.
Перейдём к деталям первой уязвимости. По шкале CVSS 3.1 её базовая оценка составляет 9,8 балла из десяти. Это категория "критический уровень опасности". Эксплуатация не требует аутентификации или взаимодействия с пользователем. Нарушителю достаточно отправить на уязвимый маршрутизатор один вредоносный HTTP-запрос. После успешной атаки злоумышленник получает полный контроль над устройством. Он может изменить конфигурацию сети, перехватить трафик, установить вредоносное программное обеспечение или использовать маршрутизатор как точку входа во внутреннюю инфраструктуру компании.
Вторая уязвимость - та же ошибка переполнения буфера, но в другой функции, url_rule_asp(). Однако эксплуатация приводит не к выполнению кода, а к отказу в обслуживании. Простыми словами, маршрутизатор перестаёт отвечать на запросы и может самопроизвольно перезагружаться. Даже частичная потеря работоспособности критична для малого и среднего бизнеса, который нередко использует такие модели в качестве основного шлюза в интернет. Стоит добавить: с учётом того, что эксплойт уже опубликован, злоумышленники могут объединить обе уязвимости в одну атаку. Сначала они выводят устройство из строя через отказ в обслуживании, а затем, пока владелец пытается восстановить связь, наносят основной удар.
Маршрутизаторы серии DI - бюджетные устройства. Они популярны в небольших офисах и домашних сетях благодаря низкой цене и простоте настройки. Но именно такие устройства часто остаются без обновлений. Производители редко выпускают патчи для моделей, снятых с производства. В этих моделях производитель ещё не предоставил официального исправления. Поэтому на данный момент владельцам DI-8100 остаётся полагаться только на компенсирующие меры.
Какие шаги стоит предпринять специалисту по информационной безопасности? В первую очередь, необходимо ограничить доступ к панели управления маршрутизатора из внешних сетей. Если устройство используется в офисе, настоятельно рекомендуется настроить виртуальную частную сеть (VPN) для любого удалённого управления. Весь HTTP-трафик к веб-интерфейсу должен блокироваться на межсетевом экране. Также имеет смысл установить систему обнаружения вторжений (IDS) для мониторинга подозрительных запросов. Система класса WAF, фильтрующая запросы к веб-приложениям, может блокировать попытки переполнения буфера на уровне сигнатур.
Не стоит забывать о сетевой сегментации. Маршрутизатор DI-8100 не должен иметь доступ к критически важным серверам, если это не требуется по бизнес-логике. Чем меньше устройств "видят" уязвимый маршрутизатор, тем ниже риск цепной атаки. И наконец, минимизация привилегий и отключение неиспользуемых учётных записей также снижают поверхность атаки. Впрочем, все эти меры - лишь временная защита.
Ключевой вывод здесь: наличие публичного эксплойта при отсутствии патча превращает каждый маршрутизатор D-Link DI-8100 в мишень для атак. В официальном сообщении вендора статус уязвимости обозначен как "данные уточняются". Это значит, что дата выхода исправления пока неизвестна. В сложившейся ситуации владельцам стоит всерьёз рассмотреть замену оборудования на модель с актуальной поддержкой производителя. Пока же основная рекомендация - максимально изолировать уязвимое устройство от внешнего периметра сети и отслеживать обновления в BDU.
Ссылки
- https://bdu.fstec.ru/vul/2026-06315
- https://bdu.fstec.ru/vul/2026-06316
- https://www.cve.org/CVERecord?id=CVE-2026-7853
- https://www.cve.org/CVERecord?id=CVE-2026-7854
- https://github.com/draw-ctf/report/blob/main/DI-8100/auto_reboot_asp_overflow.md
- https://github.com/draw-ctf/report/blob/main/DI-8100/url_rule_asp_overflow.md
