Один GET-запрос — и вы root. 70 тысяч китайских устройств XSpeeder уязвимы уже семь месяцев, а производитель молчит
Разбираемся, как архитектурная небрежность XSpeeder подставила корпоративных клиентов.
В устройствах XSpeeder выявлена критическая уязвимость, которая может привести к удалённому выполнению произвольного кода без прохождения аутентификации. XSpeeder — китайский производитель сетевого оборудования для корпоративных сетей. Техника компании применяется в удалённых офисах и промышленной инфраструктуре, активно эксплуатируется в разных странах.
По данным технической платформы Pwn.ai, проблема затрагивает более 70 тысяч устройств, находящихся в открытом доступе в интернете. Наибольшее распространение оборудование получило в инфраструктуре удалённых филиалов и промышленных объектов.
Уязвимость получила идентификатор CVE-2025-54322. Она позволяет получить привилегии суперпользователя без каких-либо учётных данных. Источник проблемы — ошибка в веб-слое аутентификации устройств, работающих под управлением фирменной операционной системы SXZOS. В процессе анализа прошивки специалисты установили, что последовательность примитивных защитных механизмов можно обойти и получить доступ к критически важному эндпоинту.
Ключевую роль в атаке играет функция eval(), которая выполняет декодированные из base64 данные, переданные через параметры запроса. Такой подход валидации ввода признан крайне уязвимым. Обнаружено, что слабые элементы защиты, включая проверку cookie-сессий, примитивный скан полезной нагрузки и синхронизированные по времени заголовки, не справляются с предотвращением атак.
Один лишь GET-запрос позволяет атакующему внедрить произвольный Python-код и запустить системные команды от имени root. Проблема усугубляется тем, что с момента её обнаружения прошло уже семь месяцев, однако производитель на обращения не реагировал и обновление для устранения уязвимости до сих пор не выпущено.
Специалисты подчёркивают, что решили опубликовать информацию именно об этом устройстве первым из-за длительного игнорирования со стороны XSpeeder. Также подчёркивается значимость инцидента, поскольку это первый случай, когда RCE-уязвимость была выявлена при помощи автономного инструмента автоматизированного тестирования. Такой подход позволяет находить критические ошибки, которые ранее могли оставаться незамеченными традиционными методами.
Организациям, использующим оборудование XSpeeder SXZOS, рекомендуется немедленно ограничить доступ к устройствам, изолировать их от внешних сетей и внедрить фильтрацию на уровне маршрутизации. Ситуация наглядно демонстрирует, насколько опасными могут быть отказы производителей от взаимодействия при наличии серьёзных уязвимостей в сегменте сетевого оборудования для предприятий.