Проверьте свой Cisco-роутер — возможно, он уже выполняет команды киберпреступников.

Duty News 0 06.09.2025

Как устаревшие маршрутизаторы открывают дорогу киберугрозам

Аналитики компании Eclypsium зафиксировали значительный рост активности сканеров, ориентированных на устаревшие сетевые устройства, которые давно сняты с поддержки. Наибольшую опасность представляют уже скомпрометированные маршрутизаторы Cisco, Linksys и Araknis. Эти модели больше не получают обновлений, и именно через них злоумышленники строят новые атаки. По информации Shadowserver Foundation, только за последние месяцы количество заражённых маршрутизаторов превысило 2200, и эта цифра продолжает расти.

В исследовании подчеркивается: для киберпреступников не имеет значения, насколько свежая уязвимость эксплуатируется — годичной давности или ей уже больше десятилетия. Главное условие — устройство остаётся открытым для взлома. В число активно атакуемых решений входят Cisco Small Business RV (снятые с поддержки), серия Linksys LRT (получающая лишь ограниченные апдейты) и Araknis Networks AN-300-RT-4L2W (прошивки для них давно не выпускаются). Несмотря на то что эти девайсы продолжают работать в офисных и домашних сетях, они фактически становятся «входными дверями» для злоумышленников.

Отдельный риск представляют старые сетевые протоколы. Ещё несколько лет назад ФБР предупреждало о массовом использовании механизмов вроде Cisco Smart Install (SMI) и SNMP, которые передают данные в незащищённом виде. Характерный пример — уязвимость CVE-2018-017, обнаруженная семь лет назад и до сих пор позволяющая хакерам успешно атаковать оборудование. Даже при наличии исправлений многие пользователи откладывают обновления, а владельцы малого бизнеса часто вовсе игнорируют патчи, превращая проблему в системную.

Исследователи называют такие элементы «пыльными углами инфраструктуры»: старые маршрутизаторы, устаревшие версии Windows с закрытыми приложениями и заброшенные сервисы без поддержки. Всё это даёт киберпреступникам лёгкие точки входа — достаточно просто запускать массовое сканирование интернета, чтобы находить новые жертвы.

Одним из самых частых объектов атак сегодня остаётся Huawei Home Gateway HG532. Каждый день почти 600 уникальных IP-адресов штурмуют ловушки Shadowserver, пытаясь воспользоваться критической уязвимостью 2017 года, которая позволяет захватить устройство при помощи специально сформированных пакетов.

Не меньший интерес у злоумышленников вызывают брандмауэры SonicWall. В их операционной системе SonicOSпродолжают искать баг 2022 года, позволяющий вызвать отказ в обслуживании или выполнить произвольный код без авторизации, а также уязвимость 2023 года, которая даёт возможность полностью вывести защиту из строя. В среднем около 300 уникальных IP ежедневно проверяют наличие этих ошибок.

Также сотни источников продолжают сканировать старые бреши в Cisco IOS XE (2018 и 2023 годы), эксплуатировать уязвимость в Belkin Wemo (2019), использовать дефект в Realtek SDK (существует уже более 10 лет) и баги в Zyxel Eir D1000, обнаруженные ещё в 2016 году.

По мнению специалистов, снизить риск можно лишь радикальными мерами: отказаться от устаревших протоколов (TELNET, SNMP, SMI), заменить оборудование, для которого больше не выпускаются обновления, и тщательно контролировать актуальность прошивок на всех устройствах — от корпоративных маршрутизаторов до домашних точек доступа Wi-Fi. Именно такие компоненты чаще всего становятся первой жертвой атакующих.