Производитель сетевого оборудования DrayTek предупредил о критической уязвимости CVE-2025-10547, затрагивающей ряд маршрутизаторов линейки Vigor. Ошибка позволяет неаутентифицированному удаленному злоумышленнику выполнить произвольный код, отправив специально сформированные HTTP(S)-запросы к веб-интерфейсу устройства.
Что известно об уязвимости CVE-2025-10547
По данным бюллетеня безопасности DrayTek, успешная эксплуатация уязвимости приводит к повреждению памяти и потенциальному RCE (remote code execution). Уязвимость обнаружил исследователь из ChapsVision Пьер-Ив Маес (Pierre-Yves Maes) летом текущего года. Исследователь сообщил изданию BleepingComputer, что корневая причина связана с неинициализированным значением в стеке, которое позволяет вынудить функцию free() освободить произвольную область памяти (arbitrary free). Такой сценарий открывает путь к управляемому повреждению памяти и выполнению кода.
Маес подтвердил работоспособность атаки на практике, подготовив демонстрационный PoC-эксплоит и запустив его на уязвимом устройстве, а подробности технической реализации пообещал раскрыть в ближайшее время. Наличие PoC повышает вероятность быстрой вооруженной эксплуатации после публикации деталей.
Вектор атаки: веб-интерфейс и SSL VPN
Триггером проблемы выступает доступность веб-интерфейса управления по HTTP/HTTPS. Производитель рекомендует исключить удаленный доступ к веб-админке с WAN и ограничить доступ к SSL VPN, используя ACL и сегментацию VLAN. Даже при закрытии внешнего доступа интерфейс остается доступен из локальной сети, что сохраняет риск для внутренних злоумышленников или при наличии уже скомпрометированных хостов в LAN.
Затронутые устройства и исправления
Уязвимость затрагивает несколько моделей Vigor. DrayTek выпустила обновленные прошивки, устраняющие ошибку, и рекомендует администраторам незамедлительно перейти на версии, указанные в официальном бюллетене безопасности. Перед обновлением следует сохранить конфигурацию, спланировать окно обслуживания и после установки патча проверить доступность сервисов и корректность политик.
Почему риск высок для граничных устройств
Маршрутизаторы часто находятся на периметре и управляют трафиком всей сети. Компрометация такого узла может привести к подмене маршрутизации, перехвату данных, внедрению вредоносных правил фаервола и дальнейшему продвижению злоумышленника внутрь инфраструктуры. Исторически уязвимости SOHO/SMB-роутеров активно использовались ботнетами и APT-группами, а массовое сканирование Интернета делает открытые веб-админки особенно привлекательной целью.
Практические меры снижения риска
Немедленно обновите прошивку до версий, рекомендованных DrayTek, и проверьте, что веб-управление с WAN отключено. Если удаленное администрирование необходимо, ограничьте его по IP через ACL, используйте отдельный управленческий VLAN и по возможности VPN-доступ с многофакторной аутентификацией.
Оставьте включенным только HTTPS с современными шифрами, отключите устаревшие протоколы, убедитесь в наличии уникальных надежных паролей и деактивации учетных записей по умолчанию. Включите ведение журналов, мониторинг попыток входа и аномальной активности, настройте оповещения. При наличии IDS/IPS добавьте соответствующие сигнатуры. Регулярно проверяйте конфигурацию на предмет «персистентных» модификаций (скриптов автозапуска, несанкционированных правил NAT/ACL).
Если веб-интерфейс был доступен из Интернета, проведите ретроспективный анализ логов, проверьте целостность прошивки, сравните контрольные суммы и, при сомнениях, выполните перепрошивку из доверенного источника с последующей загрузкой «чистой» конфигурации.
Своевременные патчи, минимизация поверхности атаки (закрытый WAN-админдоступ, строгие ACL, сегментация VLAN) и постоянный мониторинг — ключ к снижению риска эксплуатации CVE-2025-10547. Администраторам стоит оперативно ревизовать экспонированные сервисы, установить обновления для затронутых DrayTek Vigor и внедрить дополнительные меры контроля доступа, чтобы предотвратить попытки удаленного выполнения кода по мере появления новых технических деталей и возможной автоматизации атак.
