Asus випустила екстрене оновлення прошивки для низки DSL‑моделей, щоб усунути критичну уразливість CVE-2025-59367. Дефект дозволяє зловмиснику обійти автентифікацію і отримати повний контроль над пристроєм без пароля за умови доступності сервісів керування з боку інтернету (WAN). Виробник рекомендує встановити патч негайно.
CVE-2025-59367: віддалений обхід автентифікації у DSL‑маршрутизаторах Asus
Помилка пов’язана з можливістю звернення до інтерфейсів керування, оминаючи перевірку облікових даних. Точка атаки — віддалена: достатньо знати зовнішню IP‑адресу пристрою і мати відкритими з WAN веб‑інтерфейс або інші керівні/системні служби. Такий клас дефектів особливо небезпечний, адже не потребує взаємодії користувача і часто використовується в автоматизованих кампаніях сканування.
Під загрозою: які моделі та що виправляє прошивка 1.1.2.3_1010
Оновлення стосується моделей DSL‑AC51, DSL‑N16 і DSL‑AC750. Прошивка версії 1.1.2.3_1010 блокує можливість входу без автентифікації та підсилює захист вбудованих служб керування. Перед інсталяцією рекомендується зберегти конфігурацію, а після — перевірити, чи не активувалися за замовчуванням функції віддаленого доступу.
Чому ризик високий для домашніх і малих офісів
Комбінація віддаленого доступу, відсутності потреби у паролі та будь‑яких діях користувача створює максимальний рівень загрози для SOHO‑мереж. Подібні уразливості історично використовувалися у масових кампаніях: Mirai і Mozi будували великі ботнети з домашніх роутерів, а VPNFilter застосовувався для шпигунства, проксіювання трафіку та подальшого проникнення в мережі. Галузеві спостереження й сервіси на кшталт Shodan/Shadowserver демонструють постійне сканування IPv4‑простору на предмет відомих дефектів, тож вікно між публікацією патча і початком експлуатації зазвичай дуже вузьке.
Тимчасові заходи, якщо оновитися негайно неможливо
До встановлення прошивки Asus радить вимкнути всі служби, що доступні з інтернету: WAN‑керування, порт‑форвардинг, DDNS, VPN‑сервер, DMZ, port triggering і FTP. Також варто встановити надійні унікальні паролі для адмін‑панелі та Wi‑Fi та не повторно використовувати облікові дані.
Додаткові практики зниження поверхні атаки
Обмежте доступ до адмін‑інтерфейсу лише з локальної мережі або за списком довірених IP. Вимкніть UPnP і WPS, якщо не маєте прямої потреби, увімкніть вбудований міжмережевий екран і використовуйте HTTPS для доступу до панелі. Ізолюйте IoT‑пристрої в окремій гостьовій мережі, увімкніть WPA2/WPA3, а також періодично перевіряйте, чи не опубліковані керівні порти в інтернет (сканування зовнішнього периметра або моніторингом через спеціалізовані сервіси).
Як перевірити експозицію та підготуватися до оновлення
Переконайтеся, що ззовні недоступні веб‑інтерфейс керування, Telnet/SSH та FTP. Якщо маршрутизатор наданий провайдером і керується централізовано, погодьте інсталяцію патча з техпідтримкою. Перед оновленням збережіть поточні налаштування, а після — перевірте, чи не активувалися знову будь‑які функції віддаленого доступу.
Критична уразливість CVE-2025-59367 підкреслює базові принципи кібергігієни: швидкі оновлення, мінімальна зовнішня експозиція і стійкі, унікальні паролі. Власникам DSL‑AC51, DSL‑N16 і DSL‑AC750 доцільно негайно встановити прошивку 1.1.2.3_1010, відключити непотрібні WAN‑служби та переглянути політики доступу до адмін‑панелі. Ці кроки суттєво зменшують імовірність компрометації та запобігають використанню роутера у ланцюгу подальших атак на вашу мережу.
