Популярні двохдіапазонні маршрутизатори D-Link DIR-878, які активно використовуються в домашніх і малих офісних мережах, опинилися під загрозою через низку серйозних уразливостей у прошивці. Виробник офіційно підтвердив проблеми безпеки, але підтримка моделі завершилася ще у 2021 році, тож оновлення прошивки випущено не буде. Для власників цих роутерів це означає фактично одне: доцільно планувати повну заміну обладнання.
Критичні уразливості в прошивці D-Link DIR-878
Незалежний дослідник інформаційної безпеки під псевдонімом Yangyifan оприлюднив технічні деталі та демонстраційні експлойти (PoC) для чотирьох уразливостей у прошивці DIR-878. Три з них призводять до віддаленого виконання довільних команд (Remote Code/Command Execution, RCE), коли зловмисник може повністю керувати роутером через мережу без фізичного доступу до пристрою.
Четверта уразливість, позначена як CVE-2025-60674, пов’язана з переповненням стека під час обробки підключених USB-накопичувачів. Для її успішної експлуатації потрібно фізично підключити шкідливий носій до порту USB на роутері. Попри обмежений сценарій атаки, така помилка відкриває шлях до повного захоплення пристрою при локальному доступі.
Уразливості класу RCE в мережевому обладнанні вважаються одними з найбільш критичних, оскільки дають можливість виконувати будь-які команди на пристрої: змінювати налаштування, підмінювати трафік, розгортати шкідливе ПЗ та вбудовувати роутер у ботнет.
Чим небезпечний скомпрометований роутер D-Link DIR-878
Перехоплення трафіку, фішинг і атаки man-in-the-middle
Після успішної експлуатації одной з RCE-уразливостей зловмисник може:
— перенаправляти трафік на підроблені сайти, організовуючи цільові фішингові атаки та сценарії типу man-in-the-middle;
— змінювати налаштування DNS на роутері, скеровуючи користувачів на шкідливі ресурси навіть за умови введення коректної адреси;
— перехоплювати незашифровані з’єднання та збирати чутливі дані: логіни, паролі, дані платіжних карток;
— використовувати DIR-878 як «місток» для подальшого проникнення в локальну мережу та атак на комп’ютери, сервери й IoT‑пристрої.
Компрометація маршрутизатора часто лишається непоміченою: інтернет продовжує працювати, а пристрій уже виконує команди зловмисника чи оператора ботнету. Це робить уразливий роутер тихою, але критичною точкою входу у домашню або офісну інфраструктуру.
Статус end-of-life: чому відсутність патчів посилює ризики
Модель D-Link DIR-878 надійшла у продаж у 2017 році та у 2021-му отримала статус end-of-life. Це означає, що виробник припинив випуск будь-яких нових версій прошивки, включно з оновленнями безпеки. Попри це, пристрої досі можна знайти в продажу як залишки на складах або на вторинному ринку.
D-Link прямо заявляє, що оновлення безпеки для виявлених уразливостей не плануються. У результаті, із часом кількість відомих помилок у застарілих моделях накопичується, а можливість закрити ці діри офіційними засобами відсутня. Це типовий сценарій для старих роутерів і іншого мережевого обладнання.
Чому уразливий D-Link DIR-878 привабливий для ботнетів
За оцінкою Агентства з кібербезпеки та безпеки інфраструктури США (CISA), уразливості, виявлені Yangyifan, формально належать до середнього рівня критичності. Однак публічний доступ до технічних деталей і PoC-експлойтів різко підвищує практичний ризик: сканувати інтернет у пошуках вразливих DIR-878 та масово їх заражати можуть навіть не надто кваліфіковані зловмисники.
Сучасні ботнети на кшталт Mirai та його численних модифікацій активно експлуатують десятки й сотні уразливостей у маршрутизаторах і IoT-пристроях. У звітах фіксуються кампанії, де використовується понад 50 різних помилок безпеки в мережевому обладнанні, зокрема в пристроях D-Link. Захоплені DIR-878 можуть застосовуватися для DDoS-атак, анонімного проксування трафіку, прихованого майнінгу криптовалют та інших злочинних операцій.
Рекомендації власникам маршрутизаторів D-Link DIR-878
Оптимальне рішення — замінити роутер на підтримувану модель
Оскільки офіційні оновлення прошивки для усунення уразливостей не вийдуть, основний захід безпеки — перехід на сучасний, підтримуваний маршрутизатор. Під час вибору нового роутера варто звернути увагу на:
— наявність регулярних оновлень прошивки та прозору політику безпеки виробника;
— підтримку автоматичного оновлення (auto-update);
— можливість повністю вимкнути або жорстко обмежити віддалене керування (за IP, VPN чи окремим адміністраторським сегментом).
Тимчасові заходи захисту, якщо заміна неможлива негайно
Якщо миттєво відмовитися від DIR-878 неможливо, фахівці з кібербезпеки радять мінімізувати ризики такими кроками:
— вимкнути дистанційний веб-доступ до роутера з інтернету;
— обмежити доступ до панелі керування лише внутрішньою мережею;
— змінити стандартні логіни й паролі на унікальні та складні, використовуючи менеджер паролів;
— за можливості розмістити вразливий маршрутизатор за додатковим брандмауером або виділити його в окремий сегмент мережі.
Ситуація з D-Link DIR-878 показує, що в мережевого обладнання є власний «строк кібербезпечноі служби». Навіть якщо роутер технічно працює справно, відсутність оновлень прошивки перетворює його на вразливу точку входу у вашу мережу. Регулярна інвентаризація пристроїв, контроль статусу їх підтримки, своєчасна заміна застарілих моделей та уважне ставлення до оновлень безпеки — це базові практики, які суттєво знижують ризик компрометації. Власникам DIR-878 доцільно вже зараз планувати перехід на актуальні рішення та приділяти більше уваги захисту свого мережевого периметра.
