Wykryto podatność w oprogramowaniu routerów SDMC NE6037 1, która dotyczy wszystkich wersji oprogramowania układowego poniżej 7.1.12.2.44 2. Luka umożliwia uwierzytelnionemu atakującemu wstrzyknięcie i wykonanie dowolnych poleceń w systemie operacyjnym urządzenia. Problem został zidentyfikowany i zgłoszony do CERT Polska 3 przez polskiego badacza bezpieczeństwa 4.

TL;DR

  • Produkt: Routery SDMC NE6037.
  • Podatność: CVE-2025-8890 1 — wstrzyknięcie poleceń powłoki (OS Command Injection) 5.
  • Wektor: Uwierzytelniony atakujący może wykonać kod poprzez narzędzie diagnostyki sieci 6.
  • Wymagania: Dostęp do panelu administracyjnego, domyślnie tylko z sieci lokalnej (LAN) 7 8.
  • Kogo dotyczy: Użytkownicy i firmy posiadające routery SDMC NE6037 z oprogramowaniem w wersji starszej niż 7.1.12.2.44 2.
  • Pierwszy ruch: Weryfikacja wersji oprogramowania i natychmiastowa aktualizacja.

Wektor ataku

Podatność oznaczona jako CVE-2025-8890 (identyfikator publicznie znanej luki) 1 to klasyczne wstrzyknięcie poleceń systemu operacyjnego. Została sklasyfikowana jako CWE-78 (Improper Neutralization of Special Elements used in an OS Command) 5 w ramach klasyfikacji typów luk CWE. Luka znajduje się w narzędziu do diagnostyki sieci 6, wbudowanym w oprogramowanie routera.

Mechanizm ataku wymaga, aby atakujący był już zalogowany do panelu administracyjnego urządzenia 7. Po pomyślnym uwierzytelnieniu, spreparowane zapytanie do narzędzia diagnostycznego pozwala na wykonanie dowolnych poleceń z uprawnieniami procesu serwera WWW routera. Daje to możliwość przejęcia kontroli nad urządzeniem, podsłuchiwania ruchu sieciowego lub wykorzystania routera jako punktu startowego do dalszych ataków w sieci wewnętrznej.

Kluczowym czynnikiem ograniczającym ryzyko jest domyślna konfiguracja urządzenia. Panel administracyjny routerów SDMC NE6037 jest fabrycznie dostępny wyłącznie z sieci wewnętrznej, przez porty LAN (Local Area Network) 8. Oznacza to, że bezpośredni atak z internetu nie jest możliwy, o ile użytkownik nie zmienił tej konfiguracji i nie wystawił panelu na zewnątrz. Ryzyko znacząco wzrasta w przypadku używania słabych lub domyślnych haseł do panelu administracyjnego.

Wskaźniki kompromitacji

Na chwilę publikacji tego alertu nie są znane publiczne wskaźniki kompromitacji (IoC — Indicators of Compromise) powiązane z wykorzystaniem tej podatności. Nie zaobserwowaliśmy aktywnej kampanii eksploatującej CVE-2025-8890. Monitorujemy sytuację i zaktualizujemy artykuł w przypadku pojawienia się nowych danych.

Co zrobić w 24-48h

  • Identyfikacja zasobów. Należy pilnie zweryfikować, czy w infrastrukturze sieciowej firmy lub w sieci domowej znajdują się routery modelu SDMC NE6037 1. - Weryfikacja wersji oprogramowania. Po zalogowaniu do panelu administracyjnego routera, należy sprawdzić aktualną wersję oprogramowania układowego. Jeśli jest niższa niż 7.1.12.2.44, urządzenie jest podatne 2.

  • Aktualizacja. Rekomendowanym i jedynym skutecznym sposobem usunięcia luki jest aktualizacja oprogramowania do wersji 7.1.12.2.44 lub nowszej. Należy pobrać ją ze strony producenta lub poprzez mechanizm automatycznej aktualizacji w panelu routera. Nie należy odkładać tej czynności.

  • Działania mitygujące. Jeśli natychmiastowa aktualizacja jest niemożliwa, należy bezwzględnie upewnić się, że panel administracyjny routera nie jest dostępny z publicznego internetu. Należy również stosować silne, unikalne hasło do panelu, aby utrudnić atakującemu spełnienie warunku wstępnego, jakim jest zalogowanie 7. Rekomendowane podejście nie zastępuje jednak pełnej aktualizacji. ## Atrybucja

Podatność została odpowiedzialnie zgłoszona w ramach procedury coordinated disclosure. Zgłoszenia dokonał Grzegorz Bronka z polskiej firmy Securitum 4. Proces ujawnienia luki był koordynowany przez zespół CERT Polska 3, co jest przykładem dobrej współpracy między niezależnymi badaczami a narodowym zespołem reagowania na incydenty.

Źródła

Zobacz też

Footnotes

  1. Podatność CVE-2025-8890 została wykryta w oprogramowaniu routerów SDMC NE6037. — https://cert.pl/posts/2025/11/CVE-2025-8890/ 2 3 4

  2. Podatność CVE-2025-8890 dotyczy oprogramowania układowego w wersjach poniżej 7.1.12.2.44. — https://cert.pl/posts/2025/11/CVE-2025-8890/ 2 3

  3. Zgłoszenie o podatności CVE-2025-8890 zostało otrzymane przez CERT Polska. — https://cert.pl/posts/2025/11/CVE-2025-8890/ 2

  4. Grzegorz Bronka z firmy Securitum zgłosił podatność CVE-2025-8890. — https://cert.pl/posts/2025/11/CVE-2025-8890/ 2

  5. Podatność CVE-2025-8890 to wstrzyknięcie poleceń powłoki (OS Command Injection). — https://cert.pl/posts/2025/11/CVE-2025-8890/ 2

  6. Podatność CVE-2025-8890 dotyczy narzędzia diagnostyki sieci w routerach SDMC NE6037. — https://nvd.nist.gov/vuln/detail/CVE-2025-8890 2

  7. Aby wykorzystać podatność CVE-2025-8890, atakujący musi zalogować się do panelu administracyjnego routera. — https://cert.pl/posts/2025/11/CVE-2025-8890/ 2 3

  8. Panel administracyjny routera SDMC NE6037 jest domyślnie osiągalny jedynie przez porty LAN. — https://cert.pl/posts/2025/11/CVE-2025-8890/ 2