В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьёзная уязвимость, затрагивающая популярные маршрутизаторы LB-LINK BL-WR9000. Идентификатор уязвимости - BDU:2026-04242, ей также присвоен идентификатор CVE-2026-4226. Проблема представляет критическую опасность, поскольку позволяет злоумышленнику получить полный контроль над устройством без каких-либо предварительных условий для атаки.
Детали уязвимости
Суть уязвимости заключается в классической ошибке программирования - переполнении буфера в стеке. Конкретно, дефект находится в функции "sub_44E8D0()" файла "/goform/get_virtual_cfg" в микропрограммном обеспечении устройства. Когда маршрутизатор обрабатывает специально сформированные запросы к этому компоненту, возникает ситуация, когда данные записываются за пределы выделенной области памяти (буфера). Как следствие, злоумышленник может перезаписать критически важные структуры данных в памяти, что в конечном итоге позволяет выполнить произвольный вредоносный код.
Уровень угрозы подтверждается максимально высокими оценками по устаревшим метрикам CVSS. Например, базовая оценка CVSS 2.0 достигает 10.0, что соответствует критическому уровню. Более современная метрика CVSS 3.1 присваивает уязвимости 9.8 баллов, также относя её к категории критических. Новая метрика CVSS 4.0, учитывающая больше факторов, оценивает угрозу в 7.4 балла, что соответствует высокому уровню опасности. Все метрики сходятся в том, что атака может быть проведена удалённо по сети (AV:N), не требует специальных условий или прав (AC:L/PR:N) и потенциально ведёт к полной компрометации устройства, обеспечивая контроль над ним (конфиденциальность, целостность и доступность).
Особую тревогу вызывает факт наличия работающего эксплойта в открытом доступе. Подробное описание уязвимости и пример кода для её эксплуатации опубликованы на GitHub. Это значительно снижает порог входа для потенциальных атакующих, превращая теоретическую угрозу в практическую. Злоумышленники могут использовать эту уязвимость для установки на устройство постоянного присутствия (persistence), развёртывания вредоносного полезной нагрузки (payload), такого как программы-вымогатели (ransomware), или интеграции устройства в ботнет для проведения масштабных DDoS-атак.
На данный момент производитель, компания Shenzhen Bilian Electronics Co., Ltd., не предоставил официальных исправлений для прошивки версии 2.4.9. Статус уязвимости и способ её устранения остаются на стадии уточнения. Следовательно, владельцам уязвимых маршрутизаторов LB-LINK BL-WR9000 необходимо немедленно принять компенсирующие меры для защиты своих сетей.
Эксперты рекомендуют несколько ключевых действий. Во-первых, крайне важно ограничить удалённый доступ к веб-интерфейсу маршрутизатора из интернета. Во-вторых, следует отключить небезопасные протоколы управления, такие как HTTP и Telnet, если они не используются. В-третьих, необходимо сегментировать сеть, изолировав маршрутизатор от критически важных ресурсов. Кроме того, рекомендуется использовать системы обнаружения и предотвращения вторжений (IDS/IPS) для мониторинга сетевого трафика на предмет попыток эксплуатации данной уязвимости. Всегда актуальным советом остаётся использование сложных уникальных паролей для доступа к админ-панели устройства.
Данный инцидент в очередной раз подчёркивает риски, связанные с безопасностью интернета вещей (IoT). Производители бюджетного сетевого оборудования зачастую не уделяют достаточного внимания безопасности кода и своевременному выпуску обновлений. Пользователям же следует проявлять повышенную бдительность, регулярно проверять информацию об уязвимостях и применять все доступные меры защиты, особенно когда официальные исправления задерживаются. Текущая ситуация с маршрутизаторами LB-LINK требует оперативного реагирования как со стороны вендора, так и со стороны конечных владельцев устройств.
Ссылки
- https://bdu.fstec.ru/vul/2026-04242
- https://www.cve.org/CVERecord?id=CVE-2026-4226
- https://github.com/glkfc/IoT-Vulnerability/blob/main/LB-LINK/LB-LINK_VirtualRules%20stack%20overflow_EN.md
