Агентство кибербезопасности и инфраструктуры США (CISA) пополнило свой Каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV). В список добавлены две серьёзные проблемы, которые злоумышленники уже используют в реальных атаках. Речь идёт об уязвимостях в популярных роутерах D-Link и в операционной системе ArrayOS AG компании Array Networks. Этот шаг CISA подчёркивает сохраняющуюся актуальность старых уязвимостей и опасность новых, которые начинают активно использоваться практически сразу после обнаружения.
Детали уязвимостей
Первая из добавленных проблем - CVE-2022-37055. Это уязвимость переполнения буфера в маршрутизаторах D-Link серии Go-RT-AC750. Проблема была обнаружена ещё в 2022 году, однако, судя по данным CISA, её эксплуатация продолжается. Уязвимость существует в компоненте "cgibin", а точнее в функции "hnap_main". Она позволяет удалённому злоумышленнику выполнить произвольный код, отправив специально сформированный запрос к устройству. По сути, киберпреступник может получить полный контроль над роутером. Особенно тревожно, что эксплойты для этой уязвимости активно используются, несмотря на её возраст. Это классический пример того, как многие пользователи и организации пренебрегают своевременным обновлением прошивок сетевого оборудования, оставляя дверь открытой для атак.
Вторая уязвимость, CVE-2025-66644, является свежей и демонстрирует стремительность современных киберугроз. Она была опубликована лишь в декабре 2025 года, но, согласно описанию, активно эксплуатировалась в дикой природе ещё с августа того же года. Проблема затрагивает операционную систему ArrayOS AG, используемую в решениях для балансировки нагрузки и безопасного удалённого доступа от Array Networks. Уязвимость относится к классу инъекций команд ОС (OS Command Injection, CWE-78). Она позволяет аутентифицированному пользователю с высокими привилегиями выполнить произвольные операционные команды на целевой системе. Оценка по шкале CVSS 3.1 составляет 7.2 балла, что соответствует высокому уровню опасности. Уязвимость присутствует во всех версиях ArrayOS AG до 9.4.5.9.
Добавление этих записей в каталог KEV является формальным требованием CISA для федеральных органов власти США. Они обязаны в сжатые сроки устранить данные уязвимости в своих системах. Однако этот каталог давно стал важным ориентиром для всего мирового сообщества кибербезопасности. Он служит своего рода сигналом о наиболее актуальных и опасных угрозах, которые требуют первоочередного внимания. Эксперты из SOC (Security Operations Center, центр мониторинга безопасности) по всему миру используют подобные данные для приоритизации инцидентов и настройки систем обнаружения вторжений IDS/IPS.
Ситуация с этими двумя CVE наглядно иллюстрирует два разных, но одинаково опасных сценария. С одной стороны, это застарелая уязвимость в потребительском оборудовании, которое часто остаётся без обновлений годами. Такие устройства становятся лёгкой днобычей для бот-сетей или используются как точка входа в домашнюю сеть для последующих атак. С другой стороны, это свежая и уже эксплуатируемая проблема в корпоративном ПО. Уязвимости в инфраструктурных решениях, таких как балансировщики нагрузки, особенно критичны. Они дают злоумышленнику возможность не только похитить данные, но и нарушить работу ключевых бизнес-сервисов, что может быть частью более сложной цепочки атаки по методике MITRE ATT&CK.
Таким образом, рекомендации для специалистов очевидны, но от этого не менее важны. Владельцам затронутых моделей роутеров D-Link Go-RT-AC750 необходимо немедленно проверить и обновить прошивку до последней версии, предоставленной вендором. Организациям, использующим ArrayOS AG, следует как можно скорее обновиться до версии 9.4.5.9 или новее. Кроме того, необходимо проанализировать логи на предмет следов возможных компрометаций в течение последних месяцев. Постоянный мониторинг авторитетных источников, таких как каталог CISA KEV или BDU, должен быть неотъемлемой частью процесса управления уязвимостями. Это позволяет своевременно реагировать на угрозы, которые перешли из теоретической категории в разряд активно используемых киберпреступниками.
