Один GET-запрос — и вы root. 70 тысяч китайских устройств XSpeeder уязвимы уже семь месяцев, а производитель молчит
NewsMakerРазбираемся, как архитектурная небрежность XSpeeder подставила корпоративных клиентов.
В устройствах XSpeeder выявлена критическая уязвимость, которая может привести к удалённому выполнению произвольного кода без прохождения аутентификации. XSpeeder — китайский производитель сетевого оборудования для корпоративных сетей. Техника компании применяется в удалённых офисах и промышленной инфраструктуре, активно эксплуатируется в разных странах.
По данным технической платформы Pwn.ai, проблема затрагивает более 70 тысяч устройств, находящихся в открытом доступе в интернете. Наибольшее распространение оборудование получило в инфраструктуре удалённых филиалов и промышленных объектов.
Уязвимость получила идентификатор CVE-2025-54322 . Она позволяет получить привилегии суперпользователя без каких-либо учётных данных. Источник проблемы — ошибка в веб-слое аутентификации устройств , работающих под управлением фирменной операционной системы SXZOS. В процессе анализа прошивки специалисты установили, что последовательность примитивных защитных механизмов можно обойти и получить доступ к критически важному эндпоинту.
Ключевую роль в атаке играет функция eval(), которая выполняет декодированные из base64 данные, переданные через параметры запроса. Такой подход валидации ввода признан крайне уязвимым. Обнаружено, что слабые элементы защиты, включая проверку cookie-сессий, примитивный скан полезной нагрузки и синхронизированные по времени заголовки, не справляются с предотвращением атак.
В устройствах XSpeeder выявлена критическая уязвимость, которая может привести к удалённому выполнению произвольного кода без прохождения аутентификации. XSpeeder — китайский производитель сетевого оборудования для корпоративных сетей. Техника компании применяется в удалённых офисах и промышленной инфраструктуре, активно эксплуатируется в разных странах.
По данным технической платформы Pwn.ai, проблема затрагивает более 70 тысяч устройств, находящихся в открытом доступе в интернете. Наибольшее распространение оборудование получило в инфраструктуре удалённых филиалов и промышленных объектов.
Уязвимость получила идентификатор CVE-2025-54322 . Она позволяет получить привилегии суперпользователя без каких-либо учётных данных. Источник проблемы — ошибка в веб-слое аутентификации устройств , работающих под управлением фирменной операционной системы SXZOS. В процессе анализа прошивки специалисты установили, что последовательность примитивных защитных механизмов можно обойти и получить доступ к критически важному эндпоинту.
Ключевую роль в атаке играет функция eval(), которая выполняет декодированные из base64 данные, переданные через параметры запроса. Такой подход валидации ввода признан крайне уязвимым. Обнаружено, что слабые элементы защиты, включая проверку cookie-сессий, примитивный скан полезной нагрузки и синхронизированные по времени заголовки, не справляются с предотвращением атак.