08/09/25
Специалисты Eclypsium зафиксировали резкий рост активности сканеров, нацеленных на устаревшее и давно не поддерживаемое сетевое оборудование. Главная опасность заключается в том, что значительная часть таких атак идёт с уже захваченных устройств Cisco, Linksys и Araknis, которые давно сняты с поддержки и больше не получают обновлений. По данным Shadowserver Foundation, в последние месяцы число новых скомпрометированных маршрутизаторов превысило 2200, и эта цифра продолжает расти, пишет Securitylab.
В отчёте Eclypsium отмечается, что злоумышленникам всё равно, используют ли они современные уязвимости или бреши, которым больше 15 лет — важно лишь, что устройство остаётся уязвимым. Среди активно эксплуатируемых моделей фигурируют Cisco Small Business RV, полностью выведенные из поддержки, линейка Linksys LRT, получающая лишь ограниченные обновления, и Araknis Networks AN-300-RT-4L2W, для которых прошивки больше не выпускаются. Эти устройства по-прежнему работают в инфраструктуре компаний и домашних сетях, но фактически представляют собой открытые двери для атак.
Опасность усугубляют протоколы, оставшиеся в наследство от старых поколений сетевого ПО. ФБР ранее предупреждало, что взломщики активно используют такие механизмы, как Cisco Smart Install (SMI) и SNMP, передающие данные без шифрования. Несмотря на то что уязвимость CVE-2018-017 известна уже 7 лет, она всё ещё даёт возможность группировкам успешно атаковать оборудование. Даже если исправления выпускаются, пользователи часто не спешат их устанавливать, а малый бизнес и частные владельцы вовсе игнорируют обновления, что делает проблему хронической.
По словам исследователей, так называемые «пыльные углы» IT-инфраструктуры — это старое оборудование, унаследованные версии Windows с закрытыми приложениями и забытые сервисы без обновлений. Все они остаются потенциальными точками входа. В таких условиях киберпреступникам достаточно запускать массовое сканирование интернета, чтобы находить и заражать уязвимые устройства.
Наиболее частыми объектами атак сегодня стали маршрутизаторы Huawei Home Gateway HG532. Почти 600 уникальных IP-адресов ежедневно атакуют ловушки Shadowserver, пытаясь воспользоваться критической удалённой уязвимостью, обнаруженной ещё в 2017 году. Она позволяет отправкой специально подготовленных пакетов получить полный контроль над устройством.
Два следующих по популярности направления связаны с брандмауэрами SonicWall. В SonicOS до сих пор активно ищут уязвимость 2022 года, которая позволяет вызвать отказ в обслуживании или выполнить код на устройстве без авторизации, а также баг 2023 года, с помощью которого злоумышленники способны обрушить защитное оборудование. В среднем около 300 уникальных IP ежедневно проверяют наличие этих ошибок.
Сотни точек по-прежнему сканируют уязвимости в Cisco IOS XE, обнаруженные в 2018 и 2023 годах, эксплуатируют дыру в Belkin Wemo (2019), применяют баг в Realtek SDK, которому уже более десяти лет, и используют проблемы безопасности в Zyxel Eir D1000, известные с 2016 года.
