Критичные уязвимости в роутерах D-Link: опубликованы эксплойты для устройств без исправлений

Эксперты по кибербезопасности столкнулись с тревожной ситуацией, связанной с маршрутизаторами D-Link. На GitHub 13 ноября 2025 года появились публичные proof-of-concept (POC, доказательство концепции) эксплойты для четырех неисправленных уязвимостей удаленного выполнения кода в серии роутеров DIR-878 060. Примечательно, что эксплойты были обнародованы за четыре дня до официального уведомления производителя, что создало окно повышенной опасности для пользователей.

Детали уязвимости

D-Link выпустил консультативное сообщение SAP10475 лишь 17 ноября 2025 года, подтвердив наличие критических брешей в безопасности. Серия DIR-878 060 представляет собой двухдиапазонные беспроводные маршрутизаторы, традиционно популярные в малых офисах и домашних сетях. Однако все модели, ревизии и прошивки этой серии, включая производные устройства, достигли конца жизненного цикла (EOL) или конца срока службы (EOSL) еще в 2021 году. Следовательно, производитель не планирует выпускать обновления безопасности для этих продуктов.

Уязвимости, зарегистрированные под идентификаторами CVE-2025-60672, CVE-2025-60673, CVE-2025-60674 и CVE-2025-60676, коренятся в способе обработки входящих запросов веб-интерфейсом роутера. Злоумышленники могут передавать внешние входные данные, которые выполняются как команды на уровне системы. Это позволяет осуществлять удаленное выполнение кода без необходимости аутентификации. Вектор атаки включает отправку HTTP POST запросов с поддельными cookies (uid=admin) и вредоносными нагрузками.

Официальные оценки CVSS пока не опубликованы, однако, учитывая характер уязвимостей, их серьезность классифицируется как критическая. Наихудший сценарий предполагает полный компрометацию устройства, сохранение доступа, перехват трафика и перемещение внутри внутренней сети. Таким образом, злоумышленники могут получить полный контроль над маршрутизатором и использовать его как плацдарм для атак на другие устройства в сети.

Отдельно 14 ноября 2025 года была раскрыта еще одна уязвимость, затрагивающая роутер D-Link DIR-816L с прошивкой версии 2_06_b09_beta. Эта брешь, зарегистрированная как CVE-2025-13188, представляет собой переполнение буфера в стеке, которое также может привести к удаленному выполнению кода. Для данной уязвимости также доступен публичный POC эксплойт, а устройство больше не поддерживается производителем. Присвоенные оценки CVSS v3 9.8 и CVSS v4 8.9 указывают на критический уровень серьезности.

Ситуация усугубляется тем, что оба затронутых модельных ряда официально сняты с поддержки. Пользователи таких устройств остаются беззащитными перед потенциальными атаками. Эксперты отмечают, что эксплуатация этих уязвимостей не требует от злоумышленников специальных привилегий или сложных технических знаний благодаря доступности работающих эксплойтов.

В текущих условиях специалисты рекомендуют владельцам уязвимых роутеров рассмотреть возможность их замены на современные поддерживаемые модели. Временные меры, такие как отключение веб-интерфейса от внешней сети или использование сегментации сети, могут лишь ограниченно снизить риски. Однако важно понимать, что без исправлений от производителя эти устройства остаются постоянно уязвимыми.

Данный инцидент подчеркивает системную проблему безопасности интернета вещей, где множество устройств продолжают работать после окончания срока поддержки. Следовательно, необходимо учитывать жизненный цикл оборудования при планировании кибербезопасности. Регулярный аудит сетевой инфраструктуры и своевременное обновление устаревших компонентов становятся критически важными практиками для организаций и частных пользователей.

Детали уязвимости

Ссылки