В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьёзная уязвимость, затрагивающая популярные модели маршрутизаторов D-Link. Речь идёт об ошибке с идентификатором BDU:2025-16475, которая также получила международный идентификатор CVE-2025-15190. Уязвимость представляет высокий риск, поскольку её эксплуатация позволяет злоумышленнику выполнить произвольный код на атакуемом устройстве.
Детали уязвимости
Проблема обнаружена в микропрограммном обеспечении (прошивке) двух моделей: DWR-M920 версии 1.1.50 и DIR-822K с определённой сборкой. Суть уязвимости заключается в ошибке типа «выход за границы буфера» (CWE-119) в конкретной функции программного кода. Эта функция некорректно обрабатывает специально сформированный параметр "ip6addr" при получении POST-запроса. В результате злоумышленник, имеющий доступ к веб-интерфейсу устройства, может отправить вредоносный запрос и вызвать переполнение буфера. Это, в свою очередь, открывает путь для исполнения произвольных команд на маршрутизаторе с правами самой системы.
Специалисты оценивают уровень опасности как высокий. В системе оценки CVSS 2.0 уязвимость получила базовый балл 9.0, а по более современной шкале CVSS 3.1 - 8.8. Высокие оценки обусловлены несколькими факторами. Во-первых, для атаки достаточно низких привилегий на уровне аутентификации. Во-вторых, не требуется взаимодействие с пользователем. В-третьих, успешная эксплуатация позволяет полностью скомпрометировать устройство, обеспечивая злоумышленнику полный контроль над конфиденциальностью, целостностью и доступностью данных.
Особую озабоченность вызывает тот факт, что, согласно данным BDU, эксплойт для этой уязвимости уже существует в открытом доступе. Это означает, что киберпреступники активно изучают возможность атак, а значит, окно для принятия защитных мер быстро сокращается. Стоит отметить, что способ эксплуатации классифицируется как манипулирование структурами данных, что является типичным для атак, направленных на переполнение буфера.
На текущий момент официальные исправления от производителя D-Link Corp. не выпущены, а информация о способе устранения уточняется. Однако эксперты предлагают ряд компенсирующих мер, которые могут значительно снизить риск эксплуатации. Прежде всего, рекомендуется ограничить доступ к веб-интерфейсу маршрутизатора из внешних сетей, включая интернет. Идеальной практикой является настройка доступа к панели управления только из внутренней доверенной сети.
Кроме того, эффективным решением может стать применение межсетевых экранов уровня веб-приложений, известных как WAF. Эти системы способны фильтровать входящие HTTP-запросы и блокировать те из них, которые содержат явные признаки попытки эксплуатации уязвимости. Также полезно сегментировать сеть, изолируя критически важные устройства, включая маршрутизаторы. Для организации безопасного удалённого доступа следует использовать виртуальные частные сети (VPN).
Для мониторинга и предотвращения атак рекомендуется задействовать системы обнаружения и предотвращения вторжений (IDS/IPS). Эти инструменты могут выявлять и регистрировать подозрительную сетевую активность, направленную на уязвимые устройства. Важно понимать, что перечисленные меры носят временный характер и не заменяют необходимость установки официального обновления прошивки сразу после его публикации вендором.
Обнаружение данной уязвимости подчёркивает постоянные риски, связанные с сетевым оборудованием потребительского уровня. Маршрутизаторы часто остаются без внимания с точки зрения обновлений безопасности, превращаясь в слабое звено в корпоративной и домашней сети. Успешный взлом такого устройства позволяет злоумышленнику перехватывать трафик, перенаправлять пользователей на фишинговые сайты или использовать маршрутизатор в составе ботнета для проведения масштабных кибератак.
Таким образом, владельцам затронутых моделей DWR-M920 и DIR-822K необходимо проявить повышенную бдительность. Следует активно следить за официальными источниками D-Link на предмет выхода патчей. Параллельно нужно незамедлительно реализовать доступные компенсирующие меры безопасности. В конечном итоге своевременное обновление микропрограммного обеспечения остаётся ключевым методом защиты от подобных угроз, что ещё раз доказывает критическую важность регулярного обслуживания сетевой инфраструктуры.
Ссылки
- https://bdu.fstec.ru/vul/2025-16475
- https://www.cve.org/CVERecord?id=CVE-2025-15190
- https://github.com/panda666-888/vuls/blob/main/d-link/dwr-m920/formFilter.md
