Эксперты по кибербезопасности обнаружили и подтвердили критическую уязвимость в маршрутизаторах TOTOLINK X5000R. Проблема, получившая идентификаторы BDU:2026-02541 и CVE-2025-70327, позволяет злоумышленникам полностью захватывать контроль над устройствами удалённо. Уязвимость уже имеет публично доступный эксплойт, что значительно повышает риски для пользователей.
Детали уязвимости
Уязвимость существует в обработчике "setDiagnosisCfg" веб-сервера "lighttpd", встроенного в прошивку маршрутизатора. С технической точки зрения, это классический случай аргументной инъекции (CWE-88). Атакуя эту ошибку, злоумышленник может внедрять произвольные аргументы командной строки в уязвимую функцию. В результате, возможны два основных сценария атаки. Во-первых, это полное выполнение произвольных команд на устройстве с максимальными привилегиями. Во-вторых, атакующий может вызвать исчерпание ресурсов устройства (CWE-400), что приведёт к отказу в обслуживании, то есть к простою маршрутизатора.
Уровень угрозы оценивается как критический. Системы оценки CVSS 2.0 и CVSS 3.1 присваивают уязвимости практически максимальные баллы: 10.0 и 9.8 соответственно. Высокий рейтинг обусловлен тем, что для эксплуатации не требуются ни аутентификация злоумышленника (PR:N), ни действия со стороны пользователя (UI:N). Более того, уязвимость доступна для атаки непосредственно из интернета (AV:N) при низкой сложности эксплуатации (AC:L). Успешная атака приводит к полной компрометации конфиденциальности, целостности и доступности системы (C:H/I:H/A:H).
Под угрозой находятся маршрутизаторы TOTOLINK X5000R с версией микропрограммного обеспечения 9.1.0cu.2415_B20250515. На текущий момент информация о других уязвимых версиях или моделях уточняется. Однако, учитывая распространённость подобных устройств у домашних пользователей и в малом бизнесе, потенциальный масштаб проблемы очень велик. Уязвимость была обнаружена 22 октября 2025 года, а детали и код эксплойта уже опубликованы в открытых источниках, включая GitHub.
Самым тревожным фактом является наличие работающего эксплойта в открытом доступе. Это означает, что даже злоумышленники с низкой квалификацией могут попытаться использовать уязвимость для создания ботнетов, кражи персональных данных или скрытого перенаправления интернет-трафика. Например, злоумышленник может установить на маршрутизатор вредоносное ПО для скрытого майнинга криптовалюты или обеспечить себе постоянное присутствие (persistence) в сети жертвы. Кроме того, подобный доступ служит идеальной стартовой точкой для атак на другие устройства во внутренней сети, такие как компьютеры, камеры видео наблюдения или умная техника.
К сожалению, способ устранения уязвимости со стороны вендора на данный момент не опубликован. Статус разработки и выпуска патча остаётся неизвестным. В связи с этим, специалисты рекомендуют пользователям немедленно принять комплекс компенсирующих мер для снижения риска. Прежде всего, необходимо ограничить удалённый доступ к веб-интерфейсу маршрутизатора из интернета через настройки межсетевого экрана. Крайне важно убедиться, что функция удалённого администрирования отключена.
Кроме того, рекомендуется сегментировать домашнюю сеть, если это позволяет функционал маршрутизатора. Например, можно выделить отдельную сеть для гостей и для IoT-устройств. Любой удалённый доступ к маршрутизатору для управления должен осуществляться только через защищённое VPN-соединение. Также следует регулярно проверять официальный сайт TOTOLINK на наличие обновлений прошивки. Пока патч не выпущен, пользователям стоит проявить особую бдительность к любым подозрительным сбоям в работе устройства или необычной активности в сети.
Обнаружение этой уязвимости в очередной раз подчёркивает уязвимость маршрутизаторов, которые часто остаются без внимания с точки зрения обновлений безопасности. Данный инцидент служит напоминанием для всех пользователей и администраторов о критической важности своевременного обновления встроенного программного обеспечения сетевых устройств. В ожидании официального исправления от TOTOLINK, применение описанных компенсирующих мер является наиболее эффективным способом защиты.
Ссылки
- https://bdu.fstec.ru/vul/2026-02541
- https://www.cve.org/CVERecord?id=CVE-2025-70327
- https://github.com/neighborhood-H/0-DAY/blob/main/Toto-link/X5000R/SetDiagnosisCfg/report.md
- https://www.notion.so/TOTOLINK-X5000R-SetDiagnosisCfg-2d170566ca7f8098a0bcee9f2a15d40d
