Американский центр отслеживания уязвимостей (NVD) опубликовал данные о критической проблеме безопасности, затрагивающей роутер Totolink EX1200L. Уязвимости присвоен идентификатор CVE-2026-44089 и наивысший уровень опасности по шкале CVSS 4.0 - 9,4 балла из десяти. Производитель не отвечает на запросы исследователей, поэтому патч для устройств на данный момент отсутствует. Проблема подтверждена в версии прошивки 9.3.5u.6146_B20201023, однако не исключено, что она затрагивает и более ранние сборки.
Уязвимости CVE-2026-44089
Уязвимость представляет собой переполнение буфера на стеке (CWE-121, Stack-based Buffer Overflow). Она возникает в функции авторизации, расположенной в скрипте cgi-bin/cstecgi.cgi. Злоумышленник, не прошедший аутентификацию, может отправить специально сформированный запрос к этой точке входа. В случае успешной эксплуатации атака приводит либо к аварийному завершению работы веб-интерфейса роутера, либо к удалённому выполнению произвольного кода.
Полученный код исполняется с максимальными привилегиями root. Это открывает злоумышленнику полный контроль над устройством: чтение и изменение любых данных, в том числе паролей и конфигурационных файлов, а также возможность полностью вывести роутер из строя - так называемое "превращение в кирпич" (bricking). Вектор атаки - Adjacent Network (соседняя сеть), то есть атакующий должен находиться в пределах досягаемости Wi-Fi или быть подключённым к той же локальной сети. Однако для эксплуатации не требуется взаимодействие с пользователем (UI:N) и не нужны никакие предварительные привилегии (PR:N).
Проблема особенно опасна для владельцев Totolink EX1200L, которые используют это устройство дома или в малом офисе. Роутер обеспечивает доступ к интернету и локальной сети, и его компрометация может перерасти в более серьёзный инцидент - например, утечку трафика, внедрение вредоносных программ в устройства за роутером или использование роутера в составе ботнета. Отсутствие официального исправления делает ситуацию практически безвыходной для пользователей: они вынуждены либо мириться с риском, либо заменять оборудование.
Попытки исследователей связаться с Totolink для ответственного разглашения не увенчались успехом. В бюллетене CVE прямо указано: "Поскольку попытки связаться с вендором не дали результата, уязвимость подтверждена только в одной версии, но может затрагивать и другие". Это означает, что компания не предоставила временных мер защиты и не подтвердила наличие проблемы в более новых прошивках. В сообществе специалистов по кибербезопасности такая ситуация вызывает серьёзную обеспокоенность: без поддержки со стороны производителя владельцы устройств остаются один на один с угрозой.
Пока патча нет, пользователям можно рекомендовать несколько временных мер. Прежде всего, если роутер не критичен для работы, его стоит отключить от сети и заменить на модель другого вендора, который поддерживает регулярные обновления. Если замена невозможна, нужно максимально ограничить внешний доступ к веб-интерфейсу: отключить удалённое управление из интернета, настроить брандмауэр на блокировку подозрительных запросов к портам, а также изменить стандартные логин и пароль администратора. Полезно также регулярно проверять логи на предмет необычных перезагрузок или высокой загрузки процессора - это может свидетельствовать о попытках эксплуатации. Однако все эти шаги лишь снижают вероятность атаки и не устраняют саму уязвимость.
Эта уязвимость - очередное напоминание о системных проблемах безопасности в секторе интернета вещей (IoT). Производители нередко прекращают поддержку устройств сразу после выпуска или реагируют на отчёты исследователей с многолетним опозданием. В результате владельцы купленного несколько лет назад роутера оказываются в ловушке: оборудование физически исправно, но программно беззащитно. Единственным надёжным решением остаётся заблаговременный выбор моделей, для которых производитель гарантирует долгий жизненный цикл и своевременный выход патчей.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-44089
- https://www.totolink.net/home/menu/detail/menu_listtpl/download/id/217/ids/36.html
