18,8 миллиардов IoT-устройств подключены к сети прямо сейчас - по данным IoT Analytics, к 2030 году их станет 41 миллиард. У большинства последнее обновление прошивки было единственным - заводским. Для критических уязвимостей в edge-оборудовании окно от публикации до первого эксплойта сжимается до 24–72 часов. Если ваш роутер, IP-камера или NAS не проверялись на уязвимости - вы автоматически предоставили доступ к точке входа в вашу сеть.
Это нисколько не преувеличение. В реальных пентестах мы чаще заходим через забытый роутер с Telnet, чем через фишинговое письмо. Не потому что фишинг перестал работать - а потому что на роутере нет ни антивируса, ни логов, ни человека, который за него отвечает.
Эта статья - навигационный хаб по безопасности IoT и сетевого оборудования: от классификации уязвимостей и реальных цепочек атак до патч-менеджмента embedded-систем и готового чеклиста аудита.
8 классов уязвимостей IoT устройств: от дефолтных паролей до command injection
Уязвимости IoT устройств - не одна проблема, а зоопарк из принципиально разных классов. OWASP IoT Top 10 выделяет десять категорий рисков, но на практике большинство реальных взломов роутеров и embedded-систем укладывается в восемь ключевых слабостей. Анализ записей CISA KEV за 2024 год показывает: среди самых частых CWE в уязвимостях сетевого оборудования - CWE-78 (OS Command Injection), CWE-287 (Improper Authentication), CWE-22 (Path Traversal) и CWE-502 (Deserialization of Untrusted Data).| Класс уязвимости | CWE | Типичные цели | Риск |
|---|---|---|---|
| Дефолтные и жёстко заданные пароли | CWE-287 | Роутеры, камеры, NAS | Полный доступ к устройству |
| OS Command Injection | CWE-78 | Веб-интерфейсы роутеров, CGI-бинари | RCE от имени root |
| Path Traversal | CWE-22 | Веб-панели управления файрволов | Чтение произвольных файлов, загрузка бэкдоров |
| Десериализация недоверенных данных | CWE-502 | API, протоколы объектного обмена | RCE, модификация логики |
| Use After Free | CWE-416 | Браузерные компоненты, драйверы | Порча памяти, RCE |
| Out-of-bounds Write | CWE-787 | Файрволы, сетевые сервисы (Captive Portal) | Порча памяти, RCE от имени root |
| Отсутствие шифрования трафика | - | Telnet, HTTP, MQTT без TLS | Перехват данных, MITM |
| Небезопасные сетевые сервисы | - | UPnP, SSDP, открытые debug-порты | Расширение поверхности атаки |
| Отсутствие механизма обновлений | - | Дешёвые IoT-устройства, SOHO-роутеры | Постоянная уязвимость к известным CVE |
CWE-78 и родственный CWE-77 - тут стоит остановиться подробнее. По данным TxONE Networks, Command Injection (CWE-77/CWE-78) вышел в лидеры по типам уязвимостей в каталоге KEV в 2024 году. В OT/ICS-средах command injection критически опасен: многие системы - роутеры, HMI, SCADA - позволяют администраторам выполнять команды для управления устройствами. Без валидации входных данных атакующий получает контроль над критичным оборудованием с правами суперпользователя (root).
На практике именно command injection чаще всего всплывает при анализе прошивок бюджетных роутеров: CGI-бинарь принимает параметр из HTTP-запроса и передаёт его напрямую в
system() или popen() без какой-либо фильтрации. Подробный разбор такой цепочки - от распаковки firmware до получения шелла - мы провели на примере Totolink A7100RU: CVE-2026-6112 и CVE-2026-6113: Command Injection в Totolink A7100RU и CVE-2026-6154 и CVE-2026-6155: OS Command Injection в Totolink A7100RU.
CWE-287 (Improper Authentication) - второй по массовости класс. И речь не только о паролях admin:admin. По данным из каталога KEV, обход аутентификации в веб-компонентах Ivanti Connect Secure позволял получить доступ к защищённым ресурсам без учётных данных и использовался в связке с command injection для полной компрометации устройства. Аналогичные сценарии - нарушение контроля доступа (CWE-284) на уровне API - встречаются в оборудовании Fortinet, где improper access control становится первым этапом в цепочке захвата инфраструктуры. Детальный разбор: CVE-2026-35616: эксплуатация FortiClient EMS.
Карта атак на роутеры по MITRE ATT&CK: 8 техник от initial access до firmware corruption
Атаки на сетевые устройства и IoT следуют чёткой логике, которую можно разложить по матрице MITRE ATT&CK. Вот цепочка, которую можно было наблюдать в десятках аудитов - от первичного доступа до полного контроля над сетевым устройством:Initial Access - как попадают внутрь:
T1190 (Exploit Public-Facing Application) - эксплуатация уязвимости в веб-интерфейсе роутера или файрвола. CVE-2024-21887 в Ivanti Connect Secure (CVSS 9.1) - классика жанра: command injection через веб-компонент, активно эксплуатируемый с января 2024 года. EPSS score - 0.9441 (вероятность эксплуатации 94% в течение 30 дней), percentile 99.98% - топ-0.02% всех CVE по риску. Можно сказать, гарантированно эксплуатируют.
T1078.001 (Default Accounts) - вход через заводские учётные записи. На Shodan прямо сейчас доступны тысячи роутеров с интерфейсами, принимающими admin:admin или admin
assword. Достаточно ввести в поисковой запрос слово "router" или "default+passwords" и перед вами будет обширный список. T1110.001 (Password Guessing) - перебор паролей к Telnet, SSH, веб-панелям. В январе 2020 года в открытый доступ утекли учётные данные Telnet для более чем 515 тысяч устройств - серверов, домашних маршрутизаторов, IoT-устройств (по данным ZDNet, Catalin Cimpanu), спустя какое-то время, хакеры подберут пароли к сервисам, поэтому их стоит менять.
Execution и Persistence - что делают после входа:
T1059.008 (Network Device CLI) - выполнение команд через CLI сетевого устройства. После получения доступа атакующий использует встроенные команды ОС устройства для разведки и закрепления.
T1542.001 (System Firmware) - модификация прошивки для персистентности. Атакующий перезаписывает firmware или его часть, чтобы бэкдор пережил перезагрузку устройства. Именно эту технику эксплуатирует бэкдор FIRESTARTER в Cisco ASA - зловред переживает даже установку патчей. Детальный разбор механизма: FIRESTARTER на Cisco ASA: как бэкдор переживает патчи.
T1601.001 (Patch System Image) - модификация образа операционной системы сетевого устройства. Хакер вносит изменения в загрузочный образ, отключая защитные механизмы или встраивая backdoor-функциональность. Либо изменения операционной системы в памяти хакер использует стандартные процедуры, доступные операторам устройств. Это может включать загрузку нового файла с помощью типичных протоколов, используемых на сетевых устройствах, таких как TFTP, FTP, SCP или консольное соединение. Исходный файл может быть перезаписан, или рядом с ним может быть записан новый файл, и устройство может быть перенастроено для загрузки скомпрометированного образа.
Collection и Impact - зачем всё это:
T1602.002 (Network Device Configuration Dump) - выгрузка конфигурации устройства. Конфиг роутера или файрвола содержит пароли, ключи VPN, правила ACL - всё для дальнейшего продвижения по сети.
T1495 (Firmware Corruption) - деструктивное воздействие на прошивку. В крайнем случае атакующий может «окирпичить» устройство. Хакеры могут перезаписывать или повреждать содержимое флэш-памяти системного BIOS или другого микропрограммного обеспечения на устройствах, подключенных к системе, чтобы сделать их неработоспособными или неспособными загрузиться, тем самым лишая возможности использовать устройства и/или систему.
Цепочка работает так: initial access через T1190 → execution через T1059.008 → закрепление через T1542.001 → сбор данных через T1602.002. На каждом этапе у защитника есть окно для обнаружения, но только если он знает, что искать. Разбор атак на реальный периметр - файрволы Palo Alto, Ivanti, cPanel - в гайде: Пентест периметра сети: атаки на файрволы Palo Alto, Ivanti и cPanel.
CVE роутеров и файрволов: что эксплуатируют прямо сейчас
В 2024 году опубликовано более 40 000 новых CVE - по данным NVD, абсолютный рекорд. Атаки на известные уязвимости выросли на 54% по сравнению с предыдущим годом (отчёт Indusface State of Application Security). Рост zero-day эксплойтов, нацеленных на периметровые сетевые устройства, стал ключевым трендом 2024–2025 годов.CVE-2024-21887: command injection в Ivanti Connect Secure
Одна из самых показательных уязвимостей периметра - CVE-2024-21887 в Ivanti Connect Secure и Policy Secure. Command injection в веб-компонентах позволяет аутентифицированному администратору выполнить произвольные команды на устройстве. CVSS 9.1 (Critical). Уязвимость CWE-77 (Command Injection) активно эксплуатируется «в современной среде» с 10 января 2024 года. CISA добавила её в каталог KEV с решением SSVC: Act - патчить немедленно; уязвимость также отмечена как используемая в ransomware-кампаниях. EPSS score 0.9441 - вероятность эксплуатации 94% в течение 30 дней (FIRST.org); percentile 99.98% - топ-0.02% всех CVE по риску.CVE-2023-46805 тоже отмечена CISA KEV как применяемая в ransomware-кампаниях. Для автоматизированной проверки доступны Nuclei-шаблоны:
CVE-2024-21887.yaml, CVE-2023-46805.yaml. Публичный PoC-чекер - на GitHub (oways/ivanti-CVE-2024-21887). OTX AlienVault фиксирует более 50 threat-intelligence пульсов по этой уязвимости с ежедневными обновлениями.Out-of-bounds write в Palo Alto PAN-OS (CWE-787)
Серия уязвимостей в компоненте Captive Portal файрволов Palo Alto Networks - out-of-bounds write (CWE-787, CVSS 9.3 CRITICAL по CVSS v4.0) с возможностью root RCE. Цепочка эксплуатации показывает, как ошибка записи за пределы буфера в enterprise-файрволе превращается в полный захват устройства. Мы разобрали этот вектор в нескольких материалах: CVE-2026-0300: buffer overflow в PAN-OS - root RCE на файрволе Palo Alto, разбор уязвимости Palo Alto PAN-OS, от buffer overflow в Captive Portal до root и уязвимость PAN-OS - buffer overflow в Captive Portal.Целевые атаки на Fortinet и Cisco
Оборудование Fortinet и Cisco ASA остаётся приоритетной целью для хакерских группировок. Improper Access Control (CWE-284, CVSS 9.8 CRITICAL) в FortiClient EMS позволяет неаутентифицированному хкаеру пройти от первичного доступа до захвата управления всей Fortinet-инфраструктурой - разбор в CVE-2026-35616: эксплуатация FortiClient EMS. А бэкдор FIRESTARTER в Cisco ASA - ещё тревожнее: атакующие модифицируют загрузочный образ устройства (техника T1601.001) так, что имплант переживает перезагрузку и даже установку патчей. Подробнее: FIRESTARTER на Cisco ASA.Рост атак на периметровое оборудование - не случайность. По данным TxONE Networks (Annual OT/ICS Cybersecurity Report 2024), Microsoft лидирует в каталоге KEV по числу эксплуатируемых CVE, но вторую позицию занял Ivanti - с одиннадцатью CVE в 2024 году. Заметный рост уязвимостей - именно в файрволах и SOHO-роутерах.
Firmware уязвимости IoT: от распаковки прошивки до обнаружения бэкдоров
Анализ прошивки - основа пентеста IoT устройств. Большинство бюджетных роутеров и умных устройств работают на GNU/Linux-based firmware, где файловая система упакована в один бинарный файл. Задача - распаковать, проанализировать и найти уязвимый код до того, как это сделает кто-то другой.Рабочий процесс анализа firmware
Workflow firmware-анализа строится из трёх этапов: распаковка, статический анализ и динамическое тестирование.
Этап 1: извлечение файловой системы. Binwalk - стандартный инструмент для распаковки прошивок. Определяет сигнатуры встроенных файловых систем (SquashFS, JFFS2, CramFS) и извлекает содержимое. Одна команда - и у вас полная файловая система роутера на диске:
Bash:
binwalk -e firmware.binЭтап 3: динамическое тестирование. Если прошивка позволяет эмуляцию (QEMU, FirmAE), бинари можно запустить и потестировать вживую - отправляя HTTP-запросы к веб-интерфейсу и проверяя обработку пользовательского ввода.
Этот подход был опробован при анализе роутера Totolink A7100RU, где CGI-бинарь принимал параметры из HTTP-запроса и передавал их без санитизации в функцию
system(). Результат - полноценный Command Injection (CWE-77/CWE-78, CVSS 8.9 HIGH по CVSS v4.0), дающий шелл с привилегиями процесса cstecgi.cgi (как правило, root на SOHO-роутерах). Полный путь от анализа прошивки до эксплуатации - в двух материалах: Command Injection в Totolink A7100RU - от анализа прошивки до детекции и OS Command Injection в Totolink A7100RU - от CGI до шелла.Инструменты firmware-анализа: что использовать и когда
| Инструмент | Задача | Когда применять |
|---|---|---|
| Binwalk | Извлечение файловой системы из firmware | Первый шаг при любом анализе прошивки |
| Firmwalker | Автоматический поиск секретов и уязвимых файлов | После извлечения FS, перед ручным анализом |
| FirmAE / QEMU | Эмуляция прошивки для динамического тестирования | Когда нужно протестировать веб-интерфейс без железа |
| Ghidra / IDA | Реверс-инжиниринг бинарных файлов | Поиск command injection, buffer overflow в скомпилированном коде |
| RouterSploit | Автоматизированная эксплуатация сетевых устройств | Проверка известных CVE на живом устройстве |
Ботнеты из умных устройств: от Mirai до государственных кампаний
IoT-ботнеты - вполне реальная угроза. Ботнет Mirai в 2016 году заразил сотни тысяч IP-камер и маршрутизаторов (пик - около 600 000 устройств, по данным Antonakakis et al., USENIX Security 2017), используя короткий список дефолтных учётных данных (62 пары в исходном коде). Результат - DDoS-атаки мощностью более 1 Тбит/с (атака на DNS-провайдера Dyn в октябре 2016 года), парализовавшие крупнейшие мировые сервисы. С тех пор ситуация стала серьёзнее.В 2024–2025 годах произошёл качественный сдвиг: атаки на умные устройства перестали быть инструментом DDoS. NCSC Великобритании совместно с CISA и международными партнёрами в апреле 2026 года опубликовал бюллетень о скрытых сетях из скомпрометированных edge-устройств, связанных с группировками China-nexus. Атакующие используют компрометированные VPN-шлюзы, роутеры и устройства удалённого доступа для создания covert-сетей, через которые маскируют свою активность. Рекомендация NCSC: отслеживать трафик edge-устройств, особенно VPN и remote-access соединений, и внедрять динамическую фильтрацию по индикаторам covert-сетей.
Цепочка компрометации IoT-устройства для ботнета типична: сканирование Shodan/Censys или массовый скан по диапазону портов (Telnet/23, SSH/22, HTTP/80, 8080) → перебор дефолтных учётных данных (T1078.001, T1110.001) → загрузка payload → закрепление через cron или модификацию startup-скриптов. Для бюджетных SOHO-роутеров весь процесс - считанные минуты.
Первый шаг для домашних пользователей и небольших компаний - проверить безопасность собственных устройств. Практический гайд по аудиту умных колонок, роутеров и смарт-ТВ: IoT уязвимости: как проверить умную колонку, роутер и смарт-ТВ.
Отдельная тревога - уязвимости в мессенджерах и приложениях, работающих на IoT-подобных платформах. Разбор: Zero-Day в Telegram ZDI-CAN-30207.
Патч-менеджмент IoT: почему 85% организаций не обновляют OT-устройства
Патч-менеджмент IoT - парадокс кибербезопасности. По данным TxONE Networks, 85% организаций не проводят регулярное обновление OT-устройств. В нефтегазовом секторе ещё хуже: 10% компаний вообще отказываются от патчинга. Окно эксплуатации при этом сжимается - если ещё в 2024 году среднее время до первого эксплойта составляло около 5 дней, то для критических уязвимостей в edge-оборудовании этот показатель может падать до 24–72 часов (по данным Rapid7, VulnCheck).3 причины, по которым не обновляют
Опрос TxONE Networks выявил три барьера для патч-менеджмента в OT- и IoT-средах:- Нехватка персонала и экспертизы. Обновление прошивки роутера или промышленного контроллера - не одна кнопка. Нужно тестирование совместимости, планирование отката, координация с эксплуатирующим подразделением. На практике этим некому заниматься.
- Страх перед простоем. Перезагрузка сетевого устройства - разрыв сессий, потеря маршрутов, возможный сбой в production. В промышленных средах это может означать остановку конвейера. Были реальные кейсы, где роутер не перезагружали два года - работало золотое правило «работает, не трогай».
- Отсутствие поддержки вендора. Многие IoT-устройства работают на end-of-life оборудовании, для которого вендор не выпускает обновлений. Проприетарное ПО создаёт риск несовместимости патча.
Как выстроить патч-менеджмент для IoT без SIEM
NIST SP 800-40 Revision 4 рекомендует устанавливать критические патчи безопасности в течение 30 дней с момента выпуска, с крайним сроком в 90 дней. Для IoT-устройств этот процесс нужно адаптировать:Инвентаризация. Первый шаг, который большинство пропускает. Невозможно патчить то, о чём не знаешь.
nmap -sV -O по подсети - и уже видна базовая картина. Shodan/Censys помогут увидеть устройства, торчащие наружу.Приоритизация по контексту. CVSS-скор - отправная точка, но не единственный критерий. CISA рекомендует SSVC (Stakeholder-Specific Vulnerability Categorization) для приоритизации. На практике: если уязвимость есть в каталоге KEV - патчить немедленно. Если EPSS выше 0.5 - в течение недели. Остальное - по графику.
Тестирование и откат. Для критичных устройств обязателен тест патча на идентичном оборудовании или в эмуляторе. Инцидент с CrowdStrike в 2024 году, затронувший около 8,5 миллиона Windows-устройств (по данным Microsoft) и нарушивший работу множества отраслей, наглядно подтвердил: фазированное развёртывание и готовый план отката - не рекомендация, а необходимость.
Автоматизация. Для организаций с десятками устройств ручной процесс неприемлем. SBOM (Software Bill of Materials) позволяет точно определить, какие компоненты нуждаются в обновлении при обнаружении новой уязвимости.
Пентест IoT устройств: методология выбора вектора атаки
Пентест IoT устройств отличается от классического тестирования инфраструктуры. Здесь нет домена Active Directory и привычного kill chain. Зато есть прошивка, аппаратные интерфейсы (UART, JTAG), проприетарные протоколы и веб-интерфейсы, написанные двадцать лет назад.Decision tree: какой вектор выбрать
Рабочий процесс на примере SOHO-роутера
Типичный аудит начинается с разведки через Shodan. Запросhttp.title:"router" country:"RU" (port:80 OR port:8080) покажет тысячи устройств с открытыми веб-интерфейсами. Далее - сканирование конкретного устройства:
Bash:
nmap -sV -sC -p- --script vuln 192.168.1.1CVE-2024-21887.yaml), позволяющие массово проверить периметр.После получения доступа к устройству - выгрузка конфигурации (T1602.002), анализ маршрутов, поиск VPN-ключей и паролей в plaintext(текстовом документе). Если устройство поддерживает загрузку кастомной прошивки - проверяется возможность persistent-импланта (T1542.001).
Тестирование периметра - файрволы Palo Alto, Ivanti, cPanel - описано в гайде: Пентест периметра сети: атаки на файрволы.
Защита IoT сети: чеклист аудита безопасности на 12 пунктов
Чеклист для передачи сисадмину или включения в отчёт об аудите. Каждый пункт - конкретное действие, не абстрактная рекомендация.- Инвентаризация всех IoT-устройств в сети. Nmap-скан всех подсетей, сопоставление с инвентарной базой. Каждое устройство без хозяина - потенциальная угроза.
- Смена дефолтных учётных данных. Проверить каждое устройство из инвентаря. Для массовой проверки -
hydraс wordlist дефолтных паролей. - Отключение неиспользуемых сервисов. Telnet, UPnP, WPS, SNMP v1/v2c - отключить, если не требуются для работы.
- Проверка версий прошивки. Сопоставить текущие версии с актуальными на сайте вендора. Устройства на EOL - заменить или изолировать.
- Установка критических патчей. Приоритет - уязвимости из каталога CISA KEV. Срок - не более 30 дней.
- Сетевая сегментация. IoT-устройства - в отдельный VLAN, с ограничением доступа к корпоративным ресурсам через ACL на маршрутизаторе.
- Шифрование трафика. TLS для веб-интерфейсов, SSH вместо Telnet, WPA3 для Wi-Fi. Проверить отсутствие самоподписанных сертификатов.
- Мониторинг аномалий. Базовый уровень - анализ NetFlow/sFlow на маршрутизаторе. Всплеск исходящего трафика с IP-камеры - красный флаг.
- Ограничение доступа к управлению. Веб-интерфейсы роутеров и IoT - только из management-VLAN. Блокировка доступа к admin-панели извне.
- Резервное копирование конфигураций. Автоматическое резервирование конфигов всех сетевых устройств. При компрометации - возможность быстрого отката.
- Сканирование периметра. Ежемесячная проверка через Shodan/Censys: какие устройства видны из интернета и не должны быть.
- Реагирование на инциденты. Задокументированный playbook: что делать при обнаружении скомпрометированного IoT-устройства (изоляция, дамп памяти, анализ, переустановка прошивки).
Для тех, кто работает в ИБ, это означает одно: навыки firmware-анализа, понимание embedded-архитектур и умение выстраивать патч-менеджмент для устройств без агентов - становится уже не опциональной специализацией, а базовым требованием.
Хотите отработать описанные техники на практике - от анализа прошивок до эксплуатации уязвимостей в сетевом оборудовании? Курсы Codeby Academy по пентесту инфраструктуры и сетевой безопасности дают лабораторную среду с реальными устройствами и сценариями.
Большинство компаний, которые приходят на аудит IoT-безопасности, не могут ответить на простой вопрос: «Какая версия прошивки стоит на вашем пограничном роутере?» Не какой вендор, не какая модель - именно версия. И это не мелкий пробел, а фундаментальная слепота. Мы тратим сотни тысяч рублей на EDR для рабочих станций, а потом обнаруживаем, что точка входа - Telnet-порт на роутере с паролем admin, который никто не менял три года.
В реальных пентестах цепочка компрометации начинается скорее с сетевого устройства, чем с фишинга. Как уже говорилось, не потому что фишинг больше не работает - а потому что на роутере нет ни антивируса, ни логов, ни человека.
Прогноз на ближайшие два года жёсткий: рост целевых атак через edge-устройства продолжится. Совместные бюллетени NCSC и CISA об использовании скомпрометированных роутеров и VPN-шлюзов как covert-инфраструктуры - не прогноз, а описание текущей реальности. Кто не начнёт относиться к безопасности IoT устройств как к части основного контура защиты прямо сейчас, будет разбираться с последствиями в авральном режиме. Причём не с последствиями DDoS - это была проблема 2016 года. А с последствиями тихого присутствия хакера внутри сети через устройство, которое никто не считал частью периметра.
Последнее редактирование модератором:
