Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Urządzenia brzegowe, takie jak routery, zapory sieciowe, koncentratory VPN, appliance’y bezpieczeństwa oraz część urządzeń IoT, stanowią pierwszą linię kontaktu między siecią organizacji a internetem. To właśnie dlatego ich stan techniczny i poziom wsparcia producenta mają bezpośredni wpływ na bezpieczeństwo całej infrastruktury.
Gdy sprzęt osiąga status end-of-life lub end-of-support, producent przestaje dostarczać poprawki bezpieczeństwa, aktualizacje firmware i wsparcie techniczne. W praktyce oznacza to, że nawet znane i publicznie opisane luki mogą pozostać trwale niezałatane, a urządzenie staje się łatwym celem dla cyberprzestępców.
W skrócie
Najnowsze analizy wskazują, że istotna część podatności aktywnie wykorzystywanych w 2025 roku dotyczyła urządzeń brzegowych, które były już wycofane ze wsparcia lub znajdowały się bardzo blisko tego etapu. Szczególnie problematyczne okazały się routery i inne elementy infrastruktury sieciowej używane w małych firmach, oddziałach oraz środowiskach domowych.
Skala ryzyka jest jeszcze większa w obszarze aktywności botnetów, które chętnie przejmują starszy sprzęt pozostający bez aktualizacji. Problem ma charakter systemowy, ponieważ urządzenia brzegowe są wystawione do internetu, często słabo monitorowane i eksploatowane znacznie dłużej, niż przewidywał to producent.
Kontekst / historia
Bezpieczeństwo urządzeń perymetrycznych od lat pozostaje jednym z kluczowych tematów w cyberbezpieczeństwie. To właśnie routery, firewalle i bramy zdalnego dostępu regularnie stają się pierwszym celem kampanii prowadzonych przez grupy państwowe, operatorów botnetów i cyberprzestępców nastawionych na szybkie uzyskanie dostępu do środowiska ofiary.
Atrakcyjność tych systemów jest oczywista: znajdują się na granicy sieci, obsługują ruch przychodzący i wychodzący, a często również mechanizmy administracyjne, zdalny dostęp, usługi VPN i integrację z tożsamością użytkowników. Kompromitacja takiego elementu daje napastnikowi przewagę już na bardzo wczesnym etapie ataku.
Rosnąca liczba incydentów sprawiła, że temat zyskał również rangę operacyjną i regulacyjną. W 2026 roku CISA wydała wiążące wytyczne dla agencji federalnych w USA, nakazujące identyfikację i wycofywanie nieobsługiwanych urządzeń brzegowych. To wyraźny sygnał także dla sektora prywatnego, że infrastruktura pozostająca poza cyklem wsparcia nie może być traktowana jedynie jako problem techniczny lub budżetowy.
Analiza techniczna
Techniczne źródło problemu wynika z połączenia kilku czynników. Po pierwsze, urządzenia brzegowe z definicji są osiągalne z internetu albo przetwarzają ruch pochodzący z zewnątrz. Po drugie, wiele z nich opiera się na zamkniętym oprogramowaniu i wyspecjalizowanym firmware, którego aktualizacje zależą wyłącznie od producenta. Po trzecie, organizacje często uznają je za stabilne elementy infrastruktury, które po wdrożeniu działają latami bez większej ingerencji.
W efekcie urządzenia te bywają rzadziej audytowane niż serwery, stacje robocze czy aplikacje biznesowe. Tymczasem raporty dotyczące eksploatacji podatności pokazują, że ponad 42% luk wykorzystywanych w 2025 roku dotyczyło produktów będących w statusie end-of-life albo prawdopodobnie już niewspieranych. W aktywności botnetów odsetek ten był jeszcze wyższy i sięgał około 65%.
Istotnym problemem jest również ograniczona widoczność zagrożeń. Tylko część aktywnie wykorzystywanych luk trafia do szeroko stosowanych list priorytetyzacyjnych i publicznych katalogów. Organizacje, które opierają strategię reagowania wyłącznie na takich zestawieniach, mogą przeoczyć realnie wykorzystywane ścieżki ataku.
Najczęstsze scenariusze obejmują zdalne wykorzystanie błędów w interfejsach administracyjnych, komponentach VPN, parserach żądań HTTP, mechanizmach uwierzytelniania lub usługach zarządzania. Po uzyskaniu dostępu atakujący może:
- przejąć kontrolę nad ruchem sieciowym,
- utrzymać trwały dostęp do środowiska,
- wykorzystać urządzenie jako punkt przesiadkowy do ruchu bocznego,
- pozyskać dane uwierzytelniające,
- włączyć sprzęt do botnetu,
- ukrywać aktywność dzięki ograniczonej telemetrii i ubogim logom.
Dodatkowo eksploatacja niektórych podatności jest obserwowana jeszcze przed szeroką publikacją szczegółów technicznych, a czasem nawet przed formalnym nadaniem identyfikatora CVE. To znacząco skraca okno reakcji i zwiększa znaczenie monitoringu behawioralnego oraz aktywnego zarządzania ekspozycją.
Konsekwencje / ryzyko
Pozostawienie niewspieranego urządzenia brzegowego w środowisku produkcyjnym oznacza wysoki i długotrwały poziom ryzyka. Kompromitacja takiego systemu może doprowadzić do przejęcia zdalnego dostępu, utraty poufności danych, zakłócenia działania usług oraz obejścia segmentacji sieciowej.
W przedsiębiorstwach ryzyko staje się szczególnie poważne wtedy, gdy urządzenie perymetryczne ma powiązanie z usługami tożsamości, centralnym systemem zarządzania lub krytycznymi strefami sieci. W takim scenariuszu pojedyncza luka może otworzyć drogę do szerokiej kompromitacji środowiska.
Najgroźniejsze są trzy elementy. Po pierwsze, brak poprawek oznacza trwałą podatność. Po drugie, starszy sprzęt często nie wspiera nowoczesnych mechanizmów bezpieczeństwa, takich jak silne uwierzytelnianie administracyjne, nowoczesne algorytmy kryptograficzne czy rozbudowana telemetria. Po trzecie, wiele organizacji nie dysponuje pełnym inwentarzem urządzeń brzegowych, zwłaszcza w oddziałach, małych biurach i środowiskach tymczasowych.
Problem nie dotyczy wyłącznie dużych firm. Urządzenia konsumenckie i półprofesjonalne wykorzystywane w pracy zdalnej, małych przedsiębiorstwach i modelu hybrydowym również pozostają atrakcyjnym celem. To właśnie tam często utrzymują się przez lata nieaktualne wersje firmware, domyślne ustawienia oraz brak centralnego nadzoru.
Rekomendacje
Organizacje powinny traktować nieobsługiwane urządzenia brzegowe jako priorytetowy obszar redukcji ryzyka. Pierwszym krokiem powinno być stworzenie pełnego inwentarza wszystkich routerów, firewalli, bram VPN, appliance’y bezpieczeństwa i urządzeń IoT pełniących funkcje perymetryczne lub wystawionych na ruch zewnętrzny.
Taki inwentarz powinien obejmować model, wersję firmware, datę końca wsparcia, lokalizację oraz właściciela biznesowego. Bez tego trudno skutecznie planować wymianę sprzętu i oceniać realny poziom ekspozycji organizacji.
Kolejnym etapem powinno być wdrożenie formalnego procesu zarządzania cyklem życia infrastruktury sieciowej. W praktyce oznacza to:
- monitorowanie dat end-of-sale, end-of-support i end-of-life,
- planowanie wymiany urządzeń z odpowiednim wyprzedzeniem,
- zakaz utrzymywania sprzętu po zakończeniu wsparcia bez formalnej akceptacji ryzyka,
- powiązanie zakupów i kontraktów serwisowych z wymaganiami bezpieczeństwa.
W warstwie operacyjnej warto wdrożyć zestaw podstawowych działań ochronnych:
- natychmiastową aktualizację firmware do wspieranych wersji,
- wyłączenie publicznie dostępnych paneli administracyjnych, jeśli nie są niezbędne,
- wymuszenie MFA dla administracji,
- ograniczenie dostępu zarządczego do wydzielonych adresów i sieci,
- centralizację logów i stałe monitorowanie zdarzeń z urządzeń perymetrycznych,
- okresowe skanowanie ekspozycji zewnętrznej,
- segmentację sieci i ograniczanie zaufania do urządzeń brzegowych,
- weryfikację, czy sprzęt nie korzysta z domyślnych kont, przestarzałych protokołów i słabych mechanizmów kryptograficznych.
Jeżeli natychmiastowa wymiana urządzenia nie jest możliwa, należy wdrożyć środki przejściowe: odseparowanie systemu, ograniczenie powierzchni ataku, wyłączenie zbędnych usług, dodatkowe reguły filtrowania ruchu oraz wzmożony monitoring. Nie należy jednak traktować tych działań jako docelowego rozwiązania, ponieważ nie zastępują one wycofania urządzenia ze środowiska.
Podsumowanie
Nieobsługiwane urządzenia brzegowe pozostają jednym z najpoważniejszych i jednocześnie najczęściej lekceważonych zagrożeń dla bezpieczeństwa sieci. Dane o aktywnej eksploatacji pokazują, że stare routery, firewalle i koncentratory VPN nadal są skutecznie wykorzystywane zarówno przez operatorów botnetów, jak i bardziej zaawansowanych przeciwników.
Połączenie wysokiej ekspozycji na internet, ograniczonej widoczności oraz braku poprawek tworzy szczególnie niebezpieczne warunki do skutecznych ataków. Dla zespołów bezpieczeństwa wniosek jest jednoznaczny: zarządzanie cyklem życia urządzeń perymetrycznych musi stać się integralną częścią strategii cyberbezpieczeństwa, a utrzymywanie krytycznych funkcji na sprzęcie po end-of-life powinno być traktowane jako niedopuszczalne ryzyko.
Źródła
- Network edge devices still widely used after reaching end-of-life status — https://www.cybersecuritydive.com/news/network-edge-devices-still-widely-used-after-reaching-end-of-life-status/815403/
- 2026 State of Exploitation: Exploiting The Network Edge — https://www.vulncheck.com/blog/network-edge-device-report-2026
- CISA orders feds to disconnect unsupported network edge devices — https://www.cybersecuritydive.com/news/cisa-edge-devices-binding-operational-directive/811539/