В Банке данных угроз (BDU) зарегистрирована новая серьёзная уязвимость, затрагивающая маршрутизаторы D-Link серии DWR-M961. Идентификатор уязвимости в BDU:2026-02158, ей также присвоен идентификатор CVE-2026-1596. Проблема позволяет удалённому злоумышленнику выполнить произвольные команды на устройстве с максимальными привилегиями (правами root). Следовательно, это создаёт риск полного компрометирования сетевого оборудования.
Детали уязвимости
Уязвимость относится к классу инъекций команд. Она существует в функции "sub_419920()", которая является частью компонента "/boafrm/formLtefotaUpgradeQuectel" в микропрограммном обеспечении устройства. Основная причина - недостаточная очистка входных данных. Если точнее, разработчики не приняли мер по нейтрализации специальных элементов, что соответствует слабостям CWE-74 и CWE-77. В результате атакующий может внедрить и выполнить произвольные системные команды.
На данный момент подтверждено, что уязвимости подвержена версия микропрограммы 1.1.47 для модели DWR-M961. Информация о других версиях или устройствах пока уточняется. Уровень опасности классифицируется как высокий. Базовый балл по шкале CVSS 2.0 составляет 9.0, а по современной шкале CVSS 3.1 - 8.8. Высокие оценки обусловлены тем, что для эксплуатации не требуется взаимодействие с пользователем (UI:N), а последствия включают полную компрометацию конфиденциальности, целостности и доступности системы (C:H/I:H/A:H).
Потенциальный вектор атаки предполагает, что злоумышленник, имеющий доступ к веб-интерфейсу управления устройством (PR:L), может отправить специально сформированный запрос. Успешная эксплуатация позволит ему установить постоянное присутствие (persistence) в системе, запустить вредоносную нагрузку (payload), такую как программы-вымогатели (ransomware), или использовать устройство как точку входа для атак на внутреннюю сеть. Подобные уязвимости в сетевом оборудовании особенно привлекательны для операторов сложных угроз (APT).
Производитель, компания D-Link Corp., пока не предоставил информацию о наличии или сроках выхода официального патча. Статус устранения уязвимости в BDU указан как "уточняется". Также нет подтверждённых данных о существовании публичных эксплойтов, однако технические детали уже доступны в открытых источниках, включая базу данных NIST и репозиторий GitHub Security Advisories.
В условиях отсутствия официального исправления эксперты по кибербезопасности настоятельно рекомендуют немедленно применить комплекс компенсирующих мер. Прежде всего, необходимо максимально ограничить удалённый доступ к устройствам. Следует запретить доступ к интерфейсу управления из внешней сети и отключить небезопасные протоколы, такие как HTTP и Telnet. Кроме того, критически важно сегментировать сеть, чтобы изолировать потенциально уязвимые маршрутизаторы от других критически важных систем.
Дополнительной линией защиты может стать развёртывание систем обнаружения и предотвращения вторжений (IDS/IPS). Эти системы способны выявлять аномальные запросы, характерные для попыток инъекции команд. Для легитимного удалённого администрирования необходимо использовать защищённые виртуальные частные сети (VPN). Параллельно нужно обеспечить соблюдение строгой парольной политики для учётных записей на устройстве, хотя это не предотвращает саму уязвимость, но усложняет первоначальный доступ к интерфейсу.
Обнаружение этой уязвимости подчёркивает постоянные риски, связанные с безопасностью интернета вещей (IoT) и сетевого оборудования. Регулярный аудит инфраструктуры, мониторинг источников угроз и оперативное применение доступных мер защиты остаются ключевыми практиками для администраторов. Сообщество ожидает скорейшего реагирования от вендора в виде выпуска обновления микропрограммы. Пока же пользователям моделей DWR-M961 следует действовать исходя из возможности компрометации и серьёзно ограничить доступ к своим устройствам.
Ссылки
- https://bdu.fstec.ru/vul/2026-02158
- https://www.cve.org/CVERecord?id=CVE-2026-1596
- https://nvd.nist.gov/vuln/detail/CVE-2026-1596
- https://github.com/advisories/GHSA-gjh3-v3wc-8746
