Эксперты по кибербезопасности предупреждают об обнаружении новой критической уязвимости в микропрограммном обеспечении популярных в прошлом маршрутизаторов D-Link DIR-600. Уязвимость, зарегистрированная в Банке данных угроз (BDU) под идентификатором BDU:2025-16479 и получившая идентификатор CVE-2025-15194, связана с переполнением буфера. Она позволяет удаленному злоумышленнику выполнить произвольный код на устройстве, что потенциально ведет к его полному контролю.
Детали уязвимости
Техническая суть проблемы заключается в ошибке в функции "sess_get_uid()". Эта ошибка классифицируется как выход операции за границы буфера в памяти (CWE-119). Проще говоря, из-за недостаточной проверки входных данных, специально сформированный HTTP-запрос может записать информацию за пределы выделенной области памяти. В результате злоумышленник может перезаписать критически важные данные и заставить устройство выполнить вредоносный код.
Уровень угрозы оценивается как критический по обеим основным шкалам. Базовая оценка по CVSS 2.0 составляет максимальные 10.0 баллов, а по CVSS 3.1 - 9.8 баллов. Такие высокие показатели обусловлены тем, что для эксплуатации уязвимости не требуются ни права доступа к системе, ни взаимодействие с пользователем. Более того, атака может быть осуществлена через сеть. Следовательно, уязвимое устройство, доступное из интернета, представляет собой крайне легкую цель.
Подверженной атаке является конкретная версия микропрограммы - 2.15WWb02 для модели DIR-600. Этот маршрутизатор уже давно снят с производства и не получает официальных обновлений безопасности от производителя. Именно такие устаревшие устройства часто становятся лакомым кусочком для киберпреступников. При этом, как указано в записи BDU, эксплойт для данной уязвимости уже существует в открытом доступе. Это значительно снижает порог входа для потенциальных атакующих, упрощая проведение масштабных автоматизированных атак.
Полный контроль над маршрутизатором открывает для злоумышленника широкие возможности. Например, он может перенаправить интернет-трафик пользователей на фишинговые сайты, перехватывать конфиденциальные данные или включить устройство в ботнет для проведения DDoS-атак. Кроме того, скомпрометированный маршрутизатор может служить плацдармом для атак на другие устройства во внутренней сети, которые изначально были защищены от прямого доступа извне.
К сожалению, способ устранения уязвимости на уровне вендора в настоящее время не указан. Вероятнее всего, в силу возраста устройства, официального патча выпущено не будет. Поэтому владельцам уязвимых маршрутизаторов DIR-600 настоятельно рекомендуется рассмотреть возможность его замены на современную поддерживаемую модель. Актуальные устройства регулярно получают обновления безопасности, что является ключевым аспектом защиты.
Если немедленная замена невозможна, критически важно применить комплекс компенсирующих мер для снижения риска. Во-первых, необходимо обеспечить, чтобы административный интерфейс маршрутизатора ни при каких обстоятельствах не был доступен из глобальной сети интернет. Во-вторых, весь доступ к панели управления устройством следует осуществлять только по защищенному протоколу HTTPS, если он поддерживается. Также эффективным решением может стать размещение маршрутизатора за аппаратным межсетевым экраном.
Помимо этого, эксперты рекомендуют использовать дополнительные средства защиты. В частности, системы обнаружения и предотвращения вторжений (IDS/IPS) могут помочь выявить попытки эксплуатации данной уязвимости по характерным аномалиям в сетевом трафике. Для организации безопасного удаленного доступа к домашней или корпоративной сети следует использовать виртуальные частные сети (VPN), а не проброс портов на маршрутизаторе. Эти меры, однако, носят временный характер и не заменяют обновление устаревшего и уязвимого оборудования.
Данный инцидент в очередной раз подчеркивает важность жизненного цикла устройств интернета вещей (IoT). Многие потребительские маршрутизаторы и другие сетевые устройства используются годами после прекращения поддержки со стороны производителя. Таким образом, они накапливают известные, но неисправленные уязвимости, создавая значительные риски не только для своих владельцев, но и для стабильности сети в целом. Регулярный аудит парка активного сетевого оборудования и его своевременная замена должны стать неотъемлемой частью политики безопасности.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-15194
- https://github.com/LonTan0/CVE/blob/main/Stack-Based%20Buffer%20Overflow%20Vulnerability%20in%20hedwig.cgi%20of%20D-Link%20DIR-600.md
