Агентство по кибербезопасности и защите инфраструктуры США (CISA) во вторник официально признало, что три уязвимости в роутерах D-Link активно используются злоумышленниками. На основании доказательств эксплуатации в реальных условиях эти недостатки были внесены в каталог известных эксплуатируемых уязвимостей (KEV), что обязывает федеральные ведомства принять меры.
Первая уязвимость, идентифицированная как CVE-2020-25078, имеет оценку серьезности 7.5 по шкале CVSS. Она позволяет удаленно раскрыть пароль администратора на устройствах D-Link DCS-2530L и DCS-2670L. Этот недостаток, известный с 2020 года, теперь представляет подтвержденную активную угрозу.
Вторая проблема, CVE-2020-25079, оценивается как более серьезная, с баллом 8.8. Она представляет собой аутентифицированную инъекцию команд в компоненте
Третья критическая уязвимость, CVE-2020-40799, также с оценкой 8.8, затрагивает сетевой видеорегистратор D-Link DNR-322L. Она связана с загрузкой кода без проверки его целостности. Это позволяет аутентифицированному атакующему выполнять команды на уровне операционной системы устройства.
Хотя публичные детали о методах, используемых в последних атаках, отсутствуют, Федеральное бюро расследований (ФБР) предоставило важный контекст. Угроза не является гипотетической и связана с конкретной вредоносной кампанией.
В консультативном документе, выпущенном ФБР в декабре 2024 года, ведомство предупредило о вредоносном ПО под названием HiatusRAT. Кампании с использованием этого вируса активно сканируют веб-камеры, уязвимые к CVE-2020-25078, что напрямую связывает одну из уязвимостей с деятельностью конкретной хакерской группы.
Для двух уязвимостей, CVE-2020-25078 и CVE-2020-25079, компания D-Link выпустила исправления еще в 2020 году. Пользователям затронутых устройств DCS-2530L и DCS-2670L необходимо убедиться, что на них установлены последние версии прошивки для защиты от атак.
Ситуация с уязвимостью CVE-2020-40799 является более сложной. Исправление для нее отсутствует, поскольку затронутая модель, D-Link DNR-322L, достигла статуса End-of-Life (EoL) или окончания срока службы.
Официально поддержка модели DNR-322L была прекращена в ноябре 2021 года. В связи с этим D-Link не выпускает обновления безопасности для данного устройства.
Ввиду отсутствия патча, официальная рекомендация для пользователей, все еще эксплуатирующих видеорегистратор DNR-322L, однозначна: необходимо немедленно прекратить его использование и заменить на поддерживаемую модель для устранения риска.
Включение этих уязвимостей в каталог KEV налагает строгие обязательства на федеральные гражданские ведомства исполнительной власти США (FCEB). Они обязаны предпринять необходимые шаги по устранению недостатков для защиты своих сетей.
Крайний срок, установленный CISA для федеральных агентств на исправление или смягчение этих трех уязвимостей, — 26 августа 2025 года.
Изображение носит иллюстративный характер
Первая уязвимость, идентифицированная как CVE-2020-25078, имеет оценку серьезности 7.5 по шкале CVSS. Она позволяет удаленно раскрыть пароль администратора на устройствах D-Link DCS-2530L и DCS-2670L. Этот недостаток, известный с 2020 года, теперь представляет подтвержденную активную угрозу.
Вторая проблема, CVE-2020-25079, оценивается как более серьезная, с баллом 8.8. Она представляет собой аутентифицированную инъекцию команд в компоненте
cgi-bin/ddns_enc.cgi. Атаке подвержены те же модели роутеров: D-Link DCS-2530L и DCS-2670L, что позволяет злоумышленнику, уже прошедшему аутентификацию, выполнять произвольные команды. Третья критическая уязвимость, CVE-2020-40799, также с оценкой 8.8, затрагивает сетевой видеорегистратор D-Link DNR-322L. Она связана с загрузкой кода без проверки его целостности. Это позволяет аутентифицированному атакующему выполнять команды на уровне операционной системы устройства.
Хотя публичные детали о методах, используемых в последних атаках, отсутствуют, Федеральное бюро расследований (ФБР) предоставило важный контекст. Угроза не является гипотетической и связана с конкретной вредоносной кампанией.
В консультативном документе, выпущенном ФБР в декабре 2024 года, ведомство предупредило о вредоносном ПО под названием HiatusRAT. Кампании с использованием этого вируса активно сканируют веб-камеры, уязвимые к CVE-2020-25078, что напрямую связывает одну из уязвимостей с деятельностью конкретной хакерской группы.
Для двух уязвимостей, CVE-2020-25078 и CVE-2020-25079, компания D-Link выпустила исправления еще в 2020 году. Пользователям затронутых устройств DCS-2530L и DCS-2670L необходимо убедиться, что на них установлены последние версии прошивки для защиты от атак.
Ситуация с уязвимостью CVE-2020-40799 является более сложной. Исправление для нее отсутствует, поскольку затронутая модель, D-Link DNR-322L, достигла статуса End-of-Life (EoL) или окончания срока службы.
Официально поддержка модели DNR-322L была прекращена в ноябре 2021 года. В связи с этим D-Link не выпускает обновления безопасности для данного устройства.
Ввиду отсутствия патча, официальная рекомендация для пользователей, все еще эксплуатирующих видеорегистратор DNR-322L, однозначна: необходимо немедленно прекратить его использование и заменить на поддерживаемую модель для устранения риска.
Включение этих уязвимостей в каталог KEV налагает строгие обязательства на федеральные гражданские ведомства исполнительной власти США (FCEB). Они обязаны предпринять необходимые шаги по устранению недостатков для защиты своих сетей.
Крайний срок, установленный CISA для федеральных агентств на исправление или смягчение этих трех уязвимостей, — 26 августа 2025 года.
