CVE-2026-36356 w MeiG Smart FORGE_SLT711: krytyczne zdalne wykonanie poleceń jako root bez uwierzytelnienia - Security Bez Tabu

CVE-2026-36356 w MeiG Smart FORGE_SLT711: krytyczne zdalne wykonanie poleceń jako root bez uwierzytelnienia

Cybersecurity news

Wprowadzenie do problemu / definicja

W urządzeniu MeiG Smart FORGE_SLT711 ujawniono krytyczną podatność typu OS Command Injection, która umożliwia zdalne wykonanie poleceń systemowych w systemie Linux bez wcześniejszego uwierzytelnienia. Problem dotyczy interfejsu administracyjnego dostępnego przez HTTP i pozwala atakującemu przekazać spreparowane dane do mechanizmu systemowego w sposób prowadzący do uruchomienia własnych komend z uprawnieniami roota.

W skrócie

Podatność została oznaczona jako CVE-2026-36356 i dotyczy routera lub urządzenia CPE MeiG FORGE_SLT711 opartego na platformie Qualcomm MDM9607. Wektor ataku prowadzi przez endpoint /action/SetRemoteAccessCfg, który według opisu nie wymaga autoryzacji. Kluczowym problemem jest niebezpieczne przetwarzanie pola password w żądaniu JSON, co finalnie prowadzi do wywołania polecenia systemowego przez powłokę. W praktyce oznacza to możliwość pełnego przejęcia urządzenia.

  • Brak wymogu logowania do wykorzystania błędu
  • Zdalny wektor ataku przez interfejs WWW
  • Wykonanie poleceń z uprawnieniami root
  • Wysokie ryzyko trwałej kompromitacji urządzenia i sieci

Kontekst / historia

Urządzenia klasy CPE, modemy i routery operatorskie od lat pozostają atrakcyjnym celem badań bezpieczeństwa oraz realnych kampanii ataków. Wynika to z ich stałej ekspozycji sieciowej, wysokich uprawnień procesów zarządzających i częstych niedociągnięć w zabezpieczeniach lokalnych paneli administracyjnych.

W analizowanym przypadku wskazano firmware MDM9607.LE.1.0-00110-STD.PROD-1, przy czym istnieje ryzyko, że problem może obejmować również szerszą linię oprogramowania tego modelu. To szczególnie ważne z perspektywy operatorów i środowisk rozproszonych, gdzie urządzenia abonenkie bywają wdrożone na długi czas, a proces aktualizacji jest utrudniony lub zależny od dostawcy usług.

Analiza techniczna

Źródłem podatności jest klasyczny błąd w przetwarzaniu danych wejściowych. Pole password z przesyłanego JSON-a trafia do konstrukcji polecenia powłoki w formie zbliżonej do instrukcji zmiany hasła użytkownika systemowego. Jeżeli wartość tego pola nie jest odpowiednio filtrowana lub sanityzowana, napastnik może osadzić w niej składnię interpretera poleceń, na przykład mechanizm podstawienia komendy.

W efekcie zamiast zwykłej operacji administracyjnej urządzenie wykonuje dodatkowe polecenia systemowe po stronie systemu operacyjnego. Szczególnie niebezpieczny jest fakt, że wskazany endpoint nie wymaga uwierzytelnienia. Oznacza to, że atak nie wymaga znajomości danych administratora ani aktywnej sesji, a jego powodzenie zależy głównie od dostępności interfejsu zarządzania.

Opis techniczny sugeruje również charakter blind RCE, czyli scenariusz, w którym rezultat działania polecenia nie musi być zwracany bezpośrednio w odpowiedzi HTTP. Taki model nadal stwarza bardzo wysokie ryzyko, ponieważ atakujący może zapisywać wyniki działań do plików tymczasowych, modyfikować konfigurację systemu, uruchamiać mechanizmy persistence albo pobierać i wykonywać dodatkowe komponenty z sieci.

Najpoważniejszym aspektem jest wykonywanie poleceń z uprawnieniami uid=0. Daje to możliwość pełnej kontroli nad urządzeniem, w tym zmiany haseł, modyfikacji reguł zapory, manipulowania ruchem sieciowym, przechwytywania komunikacji oraz wykorzystania urządzenia jako punktu wyjścia do dalszej kompromitacji środowiska.

Konsekwencje / ryzyko

Poziom ryzyka należy ocenić jako krytyczny. Połączenie zdalnego wektora, braku uwierzytelnienia i uprawnień root tworzy scenariusz szczególnie groźny zarówno dla użytkowników indywidualnych, jak i dla środowisk firmowych czy operatorskich.

W praktyce skutki mogą obejmować przejęcie kontroli nad bramą sieciową, zmianę ustawień DNS, podsłuch ruchu, blokowanie usług, wdrożenie trwałego mechanizmu dostępu oraz włączenie urządzenia do botnetu. W większych wdrożeniach problem może prowadzić do masowej kompromitacji wielu urządzeń jednocześnie, zwłaszcza jeśli panel administracyjny pozostaje dostępny z szerzej zaufanych segmentów lub z Internetu.

  • Pełne przejęcie urządzenia brzegowego
  • Manipulacja konfiguracją sieci i usług
  • Możliwość utrzymywania trwałego dostępu
  • Ryzyko lateral movement do sieci wewnętrznej
  • Utrudnione wykrycie w przypadku blind command injection

Rekomendacje

W pierwszej kolejności organizacje powinny ustalić, czy korzystają z urządzeń MeiG Smart FORGE_SLT711 lub modeli pokrewnych opartych na tym samym firmware. Następnie należy zweryfikować wersję oprogramowania i dostępność poprawek publikowanych przez producenta, integratora lub operatora.

Do czasu wdrożenia aktualizacji warto zastosować środki kompensacyjne ograniczające powierzchnię ataku i ekspozycję interfejsu zarządzania.

  • Ograniczyć dostęp do panelu administracyjnego wyłącznie do dedykowanej sieci zarządzającej
  • Zablokować HTTP i HTTPS do interfejsu z niezaufanych segmentów
  • Wyłączyć zdalne zarządzanie, jeśli nie jest niezbędne
  • Monitorować logi oraz zmiany w konfiguracji DHCP, DNS i routingu
  • Sprawdzić integralność konfiguracji i kont administracyjnych
  • Poszukiwać nietypowych procesów, zmian w skryptach startowych i artefaktów w katalogach tymczasowych
  • Skanować ekspozycję urządzeń brzegowych pod kątem nieautoryzowanych endpointów administracyjnych

Jeżeli istnieje podejrzenie kompromitacji, urządzenie należy traktować jako niezaufane. Sama zmiana hasła administratora może być niewystarczająca, jeśli napastnik uzyskał uprawnienia root. Zalecane jest odtworzenie systemu z zaufanego obrazu firmware, rotacja poświadczeń, przegląd reguł sieciowych oraz analiza ruchu wychodzącego.

Podsumowanie

CVE-2026-36356 w MeiG Smart FORGE_SLT711 to przykład krytycznej podatności, w której błędne łączenie danych wejściowych użytkownika z poleceniami systemowymi prowadzi do pełnego przejęcia urządzenia. Najgroźniejsze elementy tej sprawy to brak uwierzytelnienia, możliwość zdalnego wykorzystania oraz wykonanie poleceń z uprawnieniami roota. Dla administratorów i operatorów oznacza to konieczność pilnej weryfikacji ekspozycji urządzeń, ograniczenia dostępu do interfejsu zarządzania oraz wdrożenia aktualizacji lub skutecznych środków kompensacyjnych.

Źródła

  1. Exploit Database: MeiG Smart FORGE_SLT711 – OS Command Injection — https://www.exploit-db.com/exploits/52581
  2. NVD: CVE-2026-36356 — https://nvd.nist.gov/vuln/detail/CVE-2026-36356