Ваш CISO не спит ночами? Скорее всего, из-за старого роутера в филиале под Воронежем.
История одной уязвимости, которая свела на нет бюджет безопасности в 20 миллионов.
Можно выстроить крутейший SOC, наставить EDR на все рабочие станции, а всю защиту провалить из-за одного пыльного D-Link в удалённом офисе, который купили в 2015-м и благополучно забыли. Реальная история из практики: клиент — солидный ритейл, тратит миллионы на кибербезопасность, а инцидент начался с филиальной сети, где стоял роутер DSL-2740R.
Его скомпрометировали через CVE-2026-0625 за считанные минуты.
И пошло-поехало: кража сессий директоров, перехват трафика вплоть до платёжного шлюза. Честно говоря, иногда безопасность рушится не там, где её ждёшь, а там, где о ней просто перестали думать.
В этой статье разберём эту критическую дыру в DNS-конфигурационном интерфейсе устаревших шлюзов, почему она до сих пор актуальна в России и что делать, чтобы не попасть на первые полосы (в плохом смысле). Обещаю: будет больно, полезно и без воды. И да, в конце вас ждёт жёсткий чек-лист действий.
Почему CVE-2026-0625 — это не просто «ещё одна уязвимость», а полноценный билет в вашу сеть для злоумышленника
Если говорить начистоту, уязвимости типа OS Command Injection (CWE-78) — это классика, которая почему-то до сих пор работает. Как старый, но исправный отмычек. CVE-2026-0625 в интерфейсе dnscfg.cgi — именно такая. Злоумышленнику не нужен логин или пароль. Достаточно отправить специально сформированный запрос на роутер, и он послушно выполнит любую системную команду. Представьте, что к замку на двери поднесли универсальный ключ, который открывает всё. Это оно и есть.
На практике всё выглядит ещё проще.
Атакующий, который уже где-то в сети (часто это начинается с фишинга в филиале), отправляет запрос с payload'ом. Это может быть команда на загрузку вредоносного скрипта прямо из интернета или установка backdoor’а. И роутер, который по идее должен быть вашим пограничным рубежом, сам становится троянским конём. Права? Обычно это права пользователя процесса веб-интерфейса. Достаточно, чтобы полностью переконфигурировать устройство.
И вот здесь начинается самое интересное, а для нас, специалистов по безопасности, — головная боль. Потому что дальше злоумышленник действует как у себя дома.
Что будет делать взломанный роутер в вашей сети? Сценарии, от которых мороз по коже
Давайте без паники, но с трезвой оценкой. После успешной эксплуатации CVE-2026-0625 злоумышленник получает shell-доступ. И это не конец, а только начало большого путешествия по вашей инфраструктуре. По моему опыту, сценарии развиваются по одному из этих путей, причём часто по нескольким сразу.
Первое и самое очевидное — DNS Hijacking.
Роутер тихо меняет DNS-серверы на контролируемые злоумышленником. И весь трафик со всех устройств в этой локальной сети — от компьютера бухгалтера до IP-телефона директора — начинает ходить через его сервера. Он видит все запросы, может подменять сайты банков или корпоративных порталов. Кража учётных данных (Credential Theft) становится делом техники. Это как если бы почтальон не просто разносил ваши письма, а вскрывал каждое, копировал и только потом заклеивал.
Второй путь — превращение роутера в бота.
Его могут заставить участвовать в DDoS-атаках на другие ресурсы. Это создаёт странный исходящий трафик, который может привлечь внимание, но часто списывается на «сетевые помехи». Гораздо хуже, когда его используют как тихую прокси-сеть для атак на другие компании. Ваш IP-адрес внезапно оказывается в чёрных списках, а вы даже не понимаете почему.
Но самый опасный сценарий — Lateral Movement.
Взломанный роутер становится плацдармом для атаки внутрь сети. С него можно сканировать другие устройства, пытаться подбирать пароли к сетевым хранилищам или серверам. Однажды мы расследовали инцидент, где с такого роутера началась цепочка взломов, приведшая к шифровальщику на файловом сервере с финансовой отчётностью. И знаете, что удивляет? Всё это время на основном межсетевом экране не было ни одного подозрительного алерта. Потому что трафик шёл изнутри.
«У нас такого оборудования нет» — самая опасная иллюзия. Как найти старые D-Link перед тем, как их найдут хакеры
Признайтесь, вы на 100% уверены в инвентаризации всех сетевых устройств? Особенно в удалённых офисах, на складах, в маленьких филиалах? Я, честно говоря, почти никогда не встречал компаний, где этот учёт был бы идеален. Часто закупка такого роутера проходила по статье «хозтовары», он не попадал в базу ИТ-активов, а потом о нём забывали.
Поэтому первое и самое важное организационное мероприятие — настоящая, а не виртуальная инвентаризация (Asset Inventory).
Недостаточно посмотреть логи с основного firewall. Нужен физический опрос или использование специализированных сканеров, которые могут обнаружить такие устройства по их сетевым отпечаткам. Искать нужно модели D-Link: DSL-526B (версии прошивки 2.01 и ниже), DSL-2640B (1.07 и ниже), DSL-2740R (ранее 1.17), DSL-2780B (1.01.14 и ниже). Сам вендор давно объявил их End-of-Life (EoL). Это значит, что обновлений для них не будет и никогда.
Что делать, когда вы их нашли? Составляем Risk Assessment.
Каждый роутер — это риск. Насколько он критичен? Если он стоит в изолированной сети на складе и не имеет доступа к ядру — одна история. Если это шлюз в небольшом офисе, где работают с 1С — уже совсем другая. Оценка поможет расставить приоритеты.
И сразу разрабатываем план замены (Replacement Roadmap).
Для критичных систем — 30 дней. Для остальных — не более 90. Ждать 6–12 месяцев, как иногда пишут в учебниках, — значит сознательно держать руку в капкане. Вы же не будете ждать полгода, чтобы вытащить её?
Технические меры: как отгородиться от беды, пока замена едет по почте
Бывает, что замена физически не может прибыть быстро. Или есть сотня филиалов. Тогда включаем режим «локализации ущерба». Это не защита, это лишь попытка выиграть время, но и она лучше, чем ничего.
Самое простое и действенное — микросегментация.
Изолируем все подозрительные роутеры в отдельный VLAN. Настраиваем строгие ACL (Access Control List), которые запрещают им общаться с чем-либо, кроме интернета и, может быть, нескольких необходимых внутренних ресурсов. Никакого доступа к серверам, рабочим станциям, системам управления. Это как поместить потенциально больного человека в карантин.
Обязательно лезем в настройки firewall.
Запрещаем любой доступ к портам 80 и 8080 (веб-интерфейс) извне, то есть со стороны WAN. А лучше — ограничиваем доступ к интерфейсу управления только с нескольких доверенных IP-адресов внутри сети. И, ради всего святого, находим и отключаем галочку «Remote Management» в веб-интерфейсе. Она иногда включается сама по себе после сброса.
Если роутер стоит на границе сети, рассматриваем вариант DMZ-изоляции.
Фактически, выносим его в отдельную, максимально недоверенную зону. И обязательно настраиваем мониторинг. SIEM должен отслеживать попытки доступа к странным URL вроде /dnscfg.cgi и, что ещё важнее, — аномальные изменения в DNS-настройках на сетевом потоке. Однажды такое оповещение спасло клиента от масштабной кражи данных.
К слову, о паролях.
Если есть возможность сменить пароль от админки с заводского — сделайте это. Но не обольщайтесь. Если устройство уже скомпрометировано, бэкдор часто игнорирует стандартную аутентификацию. Это как поменять замок на двери, не зная, что в доме уже сидит вор с запасным ключом.
Фреймворки и стандарты: не для галочки, а для реальных действий
Многие воспринимают NIST CSF или ISO 27001 как бюрократические процедуры для аудиторов. И зря. В ситуации с такими уязвимостями они дают чёткий план. Смотрите, как работает NIST Cybersecurity Framework 2.0.
Функция «Идентификация» (Identify) — это как раз наша принудительная инвентаризация.
Мы должны знать все активы. «Защита» (Protect) — сегментация, правила firewall, смена паролей. «Обнаружение» (Detect) — настройка мониторинга DNS-трафика. «Реагирование» (Respond) — у нас должен быть готовый Incident Response Plan именно для такого случая: кого оповещать, как физически отключить роутер в филиале, как подключить резервный 4G-модем. «Восстановление» (Recover) — наличие backup конфигурации и знание, как быстро развернуть чистый роутер.
Причём, что любопытно, российские реалии добавляют свои краски.
Если ваша организация подпадает под 152-ФЗ или, того хуже, под требования ФСТЭК по защите КИИ, то наличие неподдерживаемого и уязвимого оборудования на границе сети — это прямое нарушение. И штрафы здесь — меньшая из проблем. Можно лишиться лицензии на деятельность. Я видел, как после проверки регулятора компания в срочном порядке меняла парк из 200 роутеров за две недели. Дорого? Неимоверно. Но дешевле, чем последствия.
10 правил 2026 года, чтобы не стать жертвой «роутергейта»
- Ищите не только в ИТ-активах. Спросите у отделов снабжения, что покупали для офисов 5-7 лет назад. Чаще всего роутеры всплывают там.
- EoL — приговор. Устройство, вышедшее из поддержки, должно быть заменено. Не завтра, а в ближайший логистически возможный срок. Обсуждать нечего.
- Удалённое администрирование — всегда OFF. Это дверь, которую не нужно держать открытой «на всякий случай». Случай обязательно найдётся.
- Микросегментация — ваш лучший друг. Даже внутри небольшой сети разделяйте устройства по функциям и уровню доверия.
- Мониторьте не только атаки извне, но и странное поведение внутри. Резкий всплеск DNS-запросов или изменение их адресата — красный флаг.
- Пароль ≠ безопасность. На устаревшем устройстве смена пароля — это гигиена, а не защита. Не уповайте на неё.
- Имейте «аварийный чемоданчик» для филиала. Комплект из чистого 4G-роутера с минимальной конфигурацией, который можно активировать удалённо, если старый пришлось экстренно отключить.
- Обучайте не только IT, но и простых сотрудников. Если интернет в офисе стал «каким-то странным», пусть это будет триггером для звонка в службу безопасности.
- Не надейтесь на перезагрузку. Она может снести только временные скрипты. Постоянный бэкдор часто выживает.
- Доверяйте, но проверяйте. Даже после замены роутера проведите анализ трафика, чтобы убедиться, что старое устройство не оставило после себя «сюрпризов» в виде скрытых туннелей.
══════
Нужна помощь?
Серьёзно, если после прочтения вы осознали масштаб потенциальной проблемы, не откладывайте.
Оставьте заявку на Бесплатную консультацию на сайте: https://securedefence.ru/
Пришлём чек-лист аудита сетевой периферии + дорожную карту замены + коммерческое предложение.
Первые 5 заказов каждый месяц — расширенный аудит ИБ на 12 страниц в подарок!
══════
Человеческий фактор и процессные меры: без этого любая технология бесполезна
Можно купить самые современные средства защиты, но если в ваших процессах дыра, всё это не сработает. Configuration Management — это скучно, но жизненно необходимо. Должен быть эталонный, безопасный образ конфигурации (baseline) для каждого типа роутера. И его нужно регулярно сверять с реальностью. Автоматизируйте это, если возможно.
Любое изменение в конфигурации, даже «на минутку», должно проходить через Change Control. Потому что эта «минутка» может стать точкой входа для атаки. У нас был случай, когда инженер из лучших побуждений включил удалённый доступ к роутеру в филиале, чтобы помочь коллеге. Включил на час. Компрометация произошла через 17 минут. Системы не знали об этом изменении и не подняли тревогу.
Обучение пользователей — это не про то, чтобы они не кликали на ссылки в письмах.
В контексте сетевых угроз нужно учить IT-персонал видеть косвенные признаки. Медленная загрузка сайтов? Вдруг все стали жаловаться на редиректы на странные страницы? Появилась новая, незнакомая Wi-Fi сеть с названием, похожим на корпоративную? Это как учить механика слушать стук двигателя. Звук есть — проблема есть.
И напоследок личное наблюдение.
Часто в погоне за сложными, дорогими системами мы забываем про фундамент. А злоумышленники ищут именно слабое звено. Им не нужно взламывать FortiGate последней модели. Им проще найти старый D-Link, про который все забыли. Защита — это система. И она настолько прочна, насколько прочно её самое слабое звено. Вы уже проверили свои роутеры сегодня?
══════
Больше материалов: Центр знаний SecureDefence.
Оставьте заявку на бесплатную консультацию: [Перейти на сайт]