Виробник мережевого обладнання DrayTek повідомив про критичну уразливість CVE-2025-10547, що зачіпає низку маршрутизаторів лінійки Vigor. Недолік дозволяє неавтентифікованому віддаленому зловмиснику виконувати довільний код, надсилаючи спеціально сформовані HTTP(S)-запити до веб-інтерфейсу пристрою. З огляду на роль таких пристроїв на периметрі мережі, ризик компрометації є високим.
Критична уразливість CVE-2025-10547: що відомо
За бюлетенем безпеки DrayTek, експлуатація призводить до пошкодження пам’яті та потенційного RCE (remote code execution). Дефект виявив дослідник ChapsVision П’єр-Ів Маес (Pierre-Yves Maes) влітку цього року. Коренева причина пов’язана з неініціалізованим значенням у стеку, що уможливлює «arbitrary free» — примус функції free() звільняти довільну ділянку пам’яті. Такі сценарії часто ескалують у кероване пошкодження пам’яті й виконання коду на пристрої.
Дослідник підтвердив практичну здійсненність атаки, підготувавши демонстраційний PoC-експлойт і запустивши його на вразливому маршрутизаторі. Наявність PoC зазвичай прискорює появу робочих експлойтів після оприлюднення технічних деталей, що підвищує терміновість застосування патчів.
Вектор атаки: веб-адмінка та SSL VPN на периметрі
Проблема активується за наявності доступу до веб-інтерфейсу управління по HTTP/HTTPS. Рекомендація виробника — відключити його з боку WAN і обмежити доступ до SSL VPN через ACL та сегментацію VLAN. Навіть без зовнішнього оприлюднення інтерфейс залишається доступним із локальної мережі, що зберігає ризики для середовища з внутрішнім порушником або за наявності вже скомпрометованих хостів у LAN.
Чому периметрові пристрої — особлива мішень
Маршрутизатори керують трафіком усієї мережі, тож їхня компрометація може призвести до маніпуляцій маршрутизацією, перехоплення даних, впровадження шкідливих правил фаєрвола й подальшого проникнення всередину інфраструктури. Історично уразливості SOHO/SMB-роутерів активно експлуатувались ботнетами (наприклад, Mirai) та державними й кримінальними групами; масове інтернет-сканування робить відкриті веб-адмінки привабливою ціллю.
Які пристрої уразливі та де шукати виправлення
Проблема зачіпає кілька моделей DrayTek Vigor. Виробник уже випустив оновлені прошивки, які усувають помилку. Адміністраторам варто оперативно перейти на версії, зазначені в офіційному бюлетені, попередньо зберігши конфігурацію, спланувавши вікно обслуговування та перевіривши після оновлення роботу сервісів і політик доступу.
Рекомендовані дії для адміністраторів
Негайні кроки: встановіть оновлення прошивки для всіх уразливих Vigor; переконайтеся, що веб-управління з WAN вимкнено; якщо віддалене адміністрування потрібне, обмежте його за IP через ACL і використовуйте окремий керівний VLAN, бажано з доступом через VPN і багатофакторною автентифікацією.
Безпечні налаштування протоколів: залишайте лише HTTPS із сучасними наборами шифрів, вимикайте застарілі протоколи, використовуйте унікальні надійні паролі, видаляйте або деактивуйте стандартні облікові записи.
Моніторинг і виявлення: увімкніть журналювання, контролюйте спроби входу та аномалії, налаштуйте оповіщення. За наявності IDS/IPS додайте відповідні сигнатури для виявлення відомих векторів.
Перевірка цілісності: якщо веб-інтерфейс був доступний з Інтернету, проведіть ретроспективний аналіз логів, перевірте цілісність прошивки, зіставте контрольні суми; за підозри — перепрошийте пристрій із довіреного джерела та завантажте «чисту» конфігурацію.
Своєчасне оновлення прошивки, мінімізація площі атаки (закритий WAN-доступ до адмінки, строгі ACL, сегментація VLAN) і постійний моніторинг — ключові чинники зниження ризику експлуатації CVE-2025-10547. Перегляньте експоновані сервіси, оновіть уразливі DrayTek Vigor і зміцніть контроль доступу вже сьогодні, аби випередити автоматизовані атаки після публікації детальної технічної інформації.
