Сразу три критические уязвимости в прошивке маршрутизаторов TOTOLINK A7100RU оказались в центре внимания специалистов по кибербезопасности. Согласно данным Банка данных угроз безопасности информации (BDU), каждая из них позволяет злоумышленнику удаленно выполнить произвольные команды на устройстве без каких-либо учетных данных. При этом экспертные эксплойты уже находятся в открытом доступе. Это означает, что оборудование находится под прямой угрозой взлома даже со стороны недостаточно опытных злоумышленников.
Детали уязвимости
Проблема обнаружена в версии прошивки 7.4cu.2313_B20191024, которая используется в модели A7100RU. Речь идет о трех разных функциях обработчика скриптов веб-интерфейса. Первая, с индексом BDU:2026-07595 (соответствующий идентификатор CVE-2026-6156), затрагивает функцию настройки параметров качества обслуживания QoS - setIpQosRules(). Вторая уязвимость, BDU:2026-07596 (CVE-2026-6026), связана с методом setPortalConfWeChat(), отвечающим за конфигурацию портала авторизации через WeChat. Третья, BDU:2026-07598 (CVE-2026-6025), обнаружена в функции настройки системного журнала setSyslogCfg(). Все они расположены в одном сценарии cgi-bin/cstecgi.cgi - исполняемом файле, который обрабатывает запросы к веб-интерфейсу устройства.
Причина всех трех уязвимостей одна и та же. Разработчики не предусмотрели очистку входных данных, передаваемых из веб-форм. Это классическая ошибка, описываемая как непринятие мер по нейтрализации специальных элементов в командах операционной системы (CWE-77 и CWE-78). Простыми словами, злоумышленник может отправить на маршрутизатор специально сформированный HTTP-запрос, в котором вместо обычного значения параметра будет содержаться строка с управляющими символами. Маршрутизатор, не проверив эту строку, передает ее напрямую в командную оболочку операционной системы - выполняется вредоносная команда.
Базовые оценки опасности по шкале CVSS 3.1 достигают 9,8 балла из десяти возможных. Это максимальный уровень критичности. Уязвимости относятся к категории "код", то есть ошибка заложена в исходном программном коде прошивки. Вектор CVSS 4.0 немного ниже - 8,9 балла, но это все равно высокий уровень опасности. Атака возможна удаленно через сеть, а для успешного взлома не требуется ни пароль, ни какое-либо взаимодействие с жертвой. Важно отметить, что все три уязвимости были выявлены еще в конце марта 2026 года, при этом данные об их устранении до сих пор отсутствуют.
Последствия успешной атаки могут быть катастрофическими для владельца устройства. Злоумышленник получает полный контроль над маршрутизатором: может изменить его настройки, перехватывать трафик, перенаправлять пользователей на поддельные веб-ресурсы или использовать устройство как часть ботнета для дальнейших атак. Поскольку A7100RU - это маршрутизатор, который часто используется в домашних сетях и небольших офисах, под угрозой оказываются не только сами устройства, но и все подключенные к ним компьютеры, телефоны и умные гаджеты. Высоки также риски утечки учетных записей и персональных данных.
Пока вендор не выпустил официальное обновление прошивки. В такой ситуации единственной защитой остаются компенсирующие меры. В первую очередь специалистам по безопасности и обычным пользователям следует ограничить доступ к веб-интерфейсу маршрутизатора из внешних сетей, особенно из интернета. Если есть необходимость удаленного управления, стоит использовать виртуальную частную сеть (VPN). Не менее важно сегментировать сеть, чтобы злоумышленник, даже получив контроль над маршрутизатором, не мог легко проникнуть в другие сегменты. Кроме того, имеет смысл использовать межсетевые экраны и системы обнаружения вторжений для отслеживания подозрительных запросов. Правда, стоит признать, что для домашнего пользователя такие меры часто слишком сложны, поэтому самый разумный шаг - отключить на устройстве службы, которые не используются, и строго соблюдать парольную политику.
Найденные уязвимости в очередной раз напоминают о том, что устройства интернета вещей часто становятся слабым звеном в цепи кибербезопасности. Производители далеко не всегда вовремя выпускают патчи. До появления официального обновления владельцам TOTOLINK A7100RU остается только полагаться на организационные меры защиты и быть предельно осторожными при настройке доступа к маршрутизатору.
Ссылки
- https://bdu.fstec.ru/vul/2026-07595
- https://bdu.fstec.ru/vul/2026-07596
- https://bdu.fstec.ru/vul/2026-07598
- https://www.cve.org/CVERecord?id=CVE-2026-6156
- https://www.cve.org/CVERecord?id=CVE-2026-6026
- https://www.cve.org/CVERecord?id=CVE-2026-6025
- https://github.com/Litengzheng/vuldb_new/blob/main/A7100RU/vul_197/README.md
- https://github.com/Litengzheng/vuldb_new/blob/main/A7100RU/vul_171/README.md
- https://github.com/Litengzheng/vuldb_new/blob/main/A7100RU/vul_170/README.md
