Федеральная служба по техническому и экспортному контролю предупреждает о критической бреши в популярном сетевом оборудовании, которая позволяет злоумышленникам незаметно превращать маршрутизаторы в элементы глобальных ботнетов.
Привычно мигающий индикаторами пластиковый прямоугольник в углу офиса или серверной долгие годы считался одним из самых надежных и незаметных элементов ИТ-инфраструктуры. Однако именно эта незаметность сыграла с владельцами сетевого оборудования злую шутку. В конце февраля Федеральная служба по техническому и экспортному контролю (ФСТЭК) разослала срочное предупреждение о выявлении критической уязвимости в устройствах тайваньского производителя Zyxel. Проблеме присвоен идентификатор BDU:2026-02240 и пугающий рейтинг опасности 9.8 из 10 возможных. Столь высокая оценка означает, что для захвата контроля над устройством хакеру не требуется ни физический доступ, ни сложная многовекторная атака — достаточно отправить специальный запрос через интернет, чтобы получить возможность удаленного исполнения вредоносного кода.
Техническая суть проблемы кроется в самом сердце маршрутизаторов — операционной системе ZyNOS, которую инженеры компании непрерывно развивают с 1998 года. Уязвимость класса CWE-78 (инъекция команд) обнаружилась в механизме реализации протокола UPnP, призванного максимально упростить подключение новых устройств к сети. Алгоритм обработки входящих данных оказался выстроен таким образом, что удаленный атакующий может использовать специально подготовленный SOAP-запрос для внедрения собственных команд прямо в операционную систему маршрутизатора. Это позволяет не только менять конфигурацию оборудования, перехватывая трафик компании, но и превращать сам роутер в послушного «зомби». В современной киберпреступной иерархии именно такие зомби-сети, объединяющие сотни тысяч взломанных бытовых и корпоративных приборов, выступают главной ударной силой для организации разрушительных DDoS-атак и масштабных спам-рассылок.
Масштаб потенциального бедствия на российском рынке трудно переоценить. Бренд Zyxel присутствует в стране более двух десятилетий, став для целого поколения пользователей синонимом надежного интернета еще со времен первых ADSL-модемов. Несколько лет назад корпорация провела масштабную реструктуризацию, выделив линейку домашних устройств в отдельный, независимый сегодня бренд Keenetic. Сама же материнская компания сосредоточилась на корпоративном секторе, телекоме и решениях для малого и среднего бизнеса. И хотя по состоянию на 2026 год легальные поставки оборудования Zyxel в Россию остановлены, в стране продолжают бесперебойно трудиться колоссальные объемы ранее закупленной техники.
По оценкам ведущего инженера-аналитика центра кибербезопасности «Газинформсервис» Максима Федосенко, счет потенциально уязвимых шлюзов, оптоволоконных терминалов и точек доступа в отечественных сетях идет на сотни тысяч. Главная проблема заключается в специфике использования подобной техники небольшими компаниями. В среде малого бизнеса годами культивировался принцип «настроил, убрал в дальний шкаф и забыл». Маршрутизаторы десятилетиями работают на периферии корпоративной инфраструктуры, обеспечивая связь удаленных филиалов или складов, и полностью выпадают из поля зрения системных администраторов в моменты проведения плановых аудитов информационной безопасности.
Эту тенденцию подтверждает и руководитель отдела технического пресейла IT Task Михаил Тимаев, отмечая, что именно периферийные VPN-устройства и маршрутизаторы чаще всего остаются без критически важных обновлений прошивок. Ситуация усугубляется тем, что многие бюджетные модели тайваньского вендора поддерживают подключение внешних 3G и 4G модемов. По словам руководителя департамента по работе с уязвимостями и инцидентами ИБ «Бастион» Дмитрия Калинина, это сделало их невероятно популярными при развертывании временных офисов или торговых точек. Эксперт подчеркивает, что для успешной массовой атаки необходимо, чтобы уязвимый WAN-порт был доступен из глобальной сети, что по умолчанию отключено производителем, однако на практике администраторы часто открывают его для удаленного управления, собственноручно распахивая двери перед злоумышленниками.
Реакция разработчиков на обнаруженную брешь оказалась оперативной — исправления для операционной системы ZyNOS уже выпущены. Однако в условиях отсутствия официальной поддержки в регионе процесс латания дыр ложится исключительно на плечи самих пользователей. Специалисты ФСТЭК настаивают на немедленной установке патчей, но с важной оговоркой: использование обновлений допустимо только из доверенных источников и после обязательного тестирования на изолированных стендах, чтобы избежать паралича рабочих сетей из-за конфликта программного обеспечения.
Для тех ситуаций, когда мгновенное обновление невозможно, эксперты по кибербезопасности предлагают радикальные, но действенные меры. Если функция автоматического проброса портов и обнаружения устройств UPnP не является критически важной для бизнес-процессов, ее следует немедленно отключить, руководствуясь принципом выжженной земли. В случаях, когда протокол необходим, требуется жестко ограничить его доступность из интернета с помощью списков контроля доступа. Дополнительным эшелоном защиты должна стать интеграция периферийного оборудования с современными системами мониторинга инцидентов (SIEM). Постоянный анализ логов и отслеживание аномальных SOAP-запросов позволят службе безопасности перехватить вредоносную инъекцию за секунды до того, как корпоративный маршрутизатор пополнит ряды очередной хакерской группировки.
Ландшафт цифровых угроз трансформируется ежедневно, старые устройства становятся новым оружием, и чтобы не пропустить момент, когда ваша инфраструктура окажется под прицелом, подписывайтесь на телеграм-канал Digital Report, где анализируются самые неочевидные и опасные технологические сдвиги нашего времени.
- Samsung готовит армию автономных гуманоидов для замены людей - 03/03/2026 15:01
- Хакеры стали распространять банковский вирус «Мамонт» через MAX - 03/03/2026 14:46
- Спецслужбы России назвали роутеры Zyxel опасными - 03/03/2026 14:39
