Специалисты по информпбезопасности зафиксировали новую критическую уязвимость в устаревших, но всё ещё используемых маршрутизаторах D-Link DIR-825. Проблема получила идентификатор BDU:2026-05906 в Банке данных угроз безопасности информации (BDU) ФСТЭК России, а также идентификатор CVE-2026-7068 в международной базе CVE. Согласно опубликованным данным, уязвимость затрагивает прошивку версии 3.00b32 для модели DIR-825.
Детали уязвимости
В основе инцидента лежат две взаимосвязанные ошибки, классифицированные по стандарту CWE. Первая - это выход операции за границы буфера в памяти (CWE-119). Вторая - классическое переполнение буфера при копировании данных без проверки размера входных параметров (CWE-120). Уязвимость локализована в демоне nmbd, который отвечает за обработку службы имен NetBIOS . Демон nmbd критичен для работы протокола NetBIOS Name Service (NBNS), обеспечивающего разрешение имен в локальных сетях.
Технически эксплуатация строится на отправке специально сформированного NBNS-запроса на сетевой порт 137 уязвимого устройства. Из-за отсутствия проверки длины входящих данных этот запрос вызывает переполнение буфера в стеке памяти. В результате атакующий получает возможность перезаписать ключевые участки оперативной памяти маршрутизатора и в конечном счёте исполнить произвольный код. Важно подчеркнуть, что для запуска атаки не требуется аутентификация на устройстве и не нужно взаимодействие с пользователем. Достаточно, чтобы маршрутизатор был доступен для отправки NBNS-пакетов.
Оценка серьёзности этой уязвимости по шкале CVSS версии 3.1 составляет 8,8 балла из 10 возможных. Это соответствует высокому уровню опасности. Вектор атаки Av:A (Adjacent Network) указывает на то, что эксплойт может быть запущен только из соседней сети, то есть из того же широковещательного сегмента, что и жертва. Тем не менее для сетей малого офиса или домашних пользователей такое ограничение не является серьёзным барьером. Злоумышленник, уже проникший во внутреннюю сеть (например, через другое скомпрометированное устройство или при подключении к гостевой сети Wi-Fi), может с лёгкостью атаковать DIR-825.
Последствия успешной эксплуатации данной уязвимости крайне серьёзны. Атакующий получает полный контроль над маршрутизатором. Это означает, что он сможет не только перехватывать и модифицировать весь проходящий трафик, перенаправлять пользователей на фишинговые сайты, но и использовать устройство в качестве точки входа для атаки на другие узлы локальной сети. Кроме того, скомпрометированные маршрутизаторы часто становятся частью ботнетов - сетей, используемых для проведения распределенных атак типа "отказ в обслуживании" (DDoS). Стоит отметить, что модель DIR-825 уже давно не поддерживается производителем патчами безопасности. Поэтому выпуска официального обновления прошивки, скорее всего, не будет.
На данный момент статус уязвимости в реестре помечен как "данные уточняются", что указывает на продолжающийся анализ. Однако уже подтверждено, что эксплойт существует в открытом доступе. Это означает, что даже не обладающие высокой квалификацией злоумышленники могут воспользоваться готовой программой для атаки. Источником уязвимости, как следует из имеющихся данных, стал исследователь, который опубликовал детали и, возможно, код эксплойта на платформе Notion. При этом официальная информация об устранении уязвимости пока отсутствует.
В сложившейся ситуации специалистам по безопасности и владельцам устаревших маршрутизаторов настоятельно рекомендуется принять ряд компенсирующих мер. В первую очередь необходимо максимально ограничить доступ к уязвимому устройству по 137 сетевому порту. Сделать это можно с помощью настройки правил межсетевого экранирования на уровне маршрутизатора, а также с помощью отдельных средств фильтрации трафика, например межсетевых экранов уровня веб-приложений (WAF). Кроме того, эффективным решением станет жёсткая сегментация сети. Уязвимый маршрутизатор следует изолировать от критичных сегментов инфраструктуры, ограничив его общение только с теми узлами, которым действительно нужны его ресурсы.
Для отслеживания аномалий в работе службы NBNS рекомендуется использовать системы класса SIEM. Практика показывает, что резкий всплеск NBNS-запросов, не соответствующий обычному профилю трафика, может быть признаком начала атаки. И наконец, самое простое и надёжное решение - полное ограничение доступа к устройству из внешних сетей, то есть из интернета. Если нет острой необходимости, следует запретить удалённое управление маршрутизатором через веб-интерфейс из глобальной сети.
В целом данная ситуация в очередной раз напоминает одно из ключевых правил кибербезопасности: использование устаревшего оборудования, для которого производитель уже не выпускает обновлений, представляет собой значительный риск. Особенно остро эта проблема стоит для сектора малого и среднего бизнеса, а также для домашних пользователей, которые зачастую оставляют устройство в эксплуатации годами, не задумываясь о последствиях. Теперь для владельцев D-Link DIR-825 с прошивкой 3.00b32 этот риск стал вполне осязаемым. Пока не появятся официальные патчи или инструкции по обходному пути, единственной гарантией защиты остаётся отключение или замена маршрутизатора на более современную модель с актуальной поддержкой безопасности.
Ссылки
- https://bdu.fstec.ru/vul/2026-05906
- https://www.cve.org/CVERecord?id=CVE-2026-7068
- https://tzh00203.notion.site/D-Link-DIR-825-nmbd-NetBIOS-Name-Service-Stack-Based-Buffer-Overflow-337b5c52018a80cea1e8d56689928114
