В Банке данных угроз безопасности информации (BDU) зарегистрированы две новые критические уязвимости в маршрутизаторах D-Link DWR-M921. Эти уязвимости, получившие идентификаторы BDU:2026-02474 и BDU:2026-02475, а также международные идентификаторы CVE-2026-2169 и CVE-2026-2168, позволяют удаленному злоумышленнику выполнить произвольный код на устройстве. Эксперты оценивают уровень опасности как высокий, поскольку для эксплуатации уже существует публичный эксплойт.
Детали уязвимости
Уязвимости сосредоточены во встроенном веб-сервере boa, который отвечает за управление устройством через веб-интерфейс. Конкретно, проблемы затрагивают функции обновления прошивки по воздуху ("/boafrm/formLtefotaUpgradeFibocom" и "/boafrm/formLtefotaUpgradeQuectel"). Согласно классификации CWE, ошибки относятся к типу "непринятие мер по чистке данных на управляющем уровне" и "инъекция". Проще говоря, устройство некорректно обрабатывает специально сформированные данные в параметре "fota_url", что открывает путь для внедрения команд.
Базовая оценка по шкале CVSS 3.1 для обеих уязвимостей составляет 8.8 баллов из 10. Это указывает на серьезную угрозу. Вектор атаки предполагает удаленное воздействие (AV:N), низкую сложность эксплуатации (AC:L) и требует наличия у атакующего каких-либо привилегий для входа в систему (PR:L). Однако, поскольку многие пользователи оставляют стандартные учетные данные для доступа к административной панели, это требование не является значительным препятствием для злоумышленников.
Успешная эксплуатация уязвимостей предоставляет злоумышленнику полный контроль (C:H/I:H/A:H) над маршрутизатором. Следовательно, потенциальные последствия крайне серьезны. Атакующий может перехватывать или модифицировать весь интернет-трафик, проходящий через устройство. Более того, он может установить на маршрутизатор вредоносное ПО для обеспечения постоянного присутствия (persistence) в сети или использовать его как точку входа для атак на другие внутренние устройства, такие как компьютеры или камеры видеонаблюдения.
На текущий момент информация от производителя, D-Link Corp., об устранении уязвимостей отсутствует. Статус уязвимости, а также способ и информация об устранении помечены как "уточняются". Это означает, что официального патча для прошивки версии 1.1.50 пока не выпущено. При этом эксплойты уже доступны в открытых источниках, например, на GitHub, что значительно повышает риск массовых атак.
В связи с отсутствием исправления, специалисты по кибербезопасности настоятельно рекомендуют владельцам маршрутизаторов D-Link DWR-M921 немедленно принять комплекс компенсирующих мер. Прежде всего, необходимо ограничить или полностью отключить возможность удаленного управления устройством из глобальной сети Интернет. Кроме того, критически важно изменить пароль по умолчанию для доступа к веб-интерфейсу на сложный и уникальный.
Эффективной мерой защиты является сегментация сети. Уязвимый маршрутизатор следует разместить в изолированном сегменте, чтобы ограничить потенциальный ущерб в случае его компрометации. Также рекомендуется использовать межсетевые экраны для фильтрации входящего трафика и системы обнаружения вторжений (IDS) или предотвращения вторжений (IPS) для мониторинга подозрительной активности.
Организациям стоит рассмотреть возможность использования виртуальных частных сетей (VPN) для безопасного удаленного доступа к корпоративным ресурсам вместо проброса портов на маршрутизаторе. Регулярный аудит правил фильтрации и мониторинг журналов событий помогут своевременно выявить признаки атаки. Следует помнить, что данные уязвимости позволяют выполнить код, поэтому последствия могут варьироваться от установки вредоносного ПО до полного отказа в обслуживании.
Обнаружение этих уязвимостей подчеркивает постоянную проблему безопасности встроенного программного обеспечения интернета вещей (IoT). Производителям необходимо уделять больше внимания безопасной разработке и регулярному обновлению прошивок. Пользователям, в свою очередь, важно проявлять осмотрительность при настройке сетевого оборудования. В данном случае, пока не выпущено официальное обновление, компенсирующие меры становятся основной линией обороны.
Эксперты продолжат отслеживать ситуацию и рекомендуют следить за официальными объявлениями D-Link на предмет выхода патча. После его появления необходимо как можно скорее обновить прошивку всех затронутых устройств. До тех пор владельцам маршрутизаторов DWR-M921 следует считать свои устройства потенциально уязвимыми и действовать соответствующим образом, минимизируя риски за счет грамотной настройки сетевой инфраструктуры.
Ссылки
- https://bdu.fstec.ru/vul/2026-02474
- https://bdu.fstec.ru/vul/2026-02475
- https://www.cve.org/CVERecord?id=CVE-2026-2168
- https://www.cve.org/CVERecord?id=CVE-2026-2169
- https://github.com/LX-66-LX/cve-new/issues/3
- https://vuldb.com/?ctiid.344871
- https://vuldb.com/?id.344871
- https://vuldb.com/?submit.748930
- https://github.com/LX-66-LX/cve-new/issues/2
- https://vuldb.com/?ctiid.344870
- https://vuldb.com/?id.344870
- https://vuldb.com/?submit.748838
