7 мая 2026 года проект OpenWrt выпустил версию 25.12.3. Главное — патч для CVE-2026-31431, получившей название Copy Fail: уязвимость класса LPE (Local Privilege Escalation) в ядре Linux давала возможность получить права root одним действием. Одновременно обновлены ядро до Linux 6.12.85 и несколько криптографических библиотек: mbedtls 3.6.6, OpenSSL 3.5.6, wolfSSL 5.9.1.
Контекст
OpenWrt — открытая операционная система для сетевого оборудования. Проект поддерживает 2849 устройств: маршрутизаторы, коммутаторы, точки доступа от Xiaomi, ASUS, Netgear, Linksys, Mikrotik, Keenetic и десятков других брендов. В марте 2026 года вышла основная ветка 25.12, и 25.12.3 — уже третий патч-релиз в ней. Сборки опубликованы для 41 целевой платформы.
Уязвимость Copy Fail затрагивает ядро Linux — а значит, потенциально любое устройство на OpenWrt, к которому есть локальный доступ: физический или через уже скомпрометированный сеанс. LPE-эксплойты такого рода особенно опасны в корпоративных сетях, где маршрутизатор — привилегированный узел, видящий весь трафик. Получив root, атакующий может перехватывать пакеты, менять DNS, устанавливать персистентные бэкдоры.
Релиз также добавляет поддержку новых устройств — среди них ASUS RT-AX52 PRO, D-Link AQUILA PRO AI E30, Xiaomi AX6000, Linksys MX5300, Keenetic KAP-630 и Zyxel WX5600-T0. Исправлена работа платформ ath79, ipq50xx, mediatek, mvebu, qualcommax.
Аналитика
CVE-2026-31431 — очередное напоминание, что сетевое железо в офисе или дома не менее уязвимо, чем облачный сервер. Разница в том, что облако обновляют непрерывно, а маршрутизатор может годами стоять на одной прошивке. LPE в ядре — не гипотетическая угроза: если атакующий уже получил частичный доступ (например, через уязвимость веб-интерфейса или guest shell), Copy Fail превращает его в полный контроль над устройством.
Ситуацию усугубляет цепочка дистрибуции: вендоры, продающие устройства на базе OpenWrt под своим брендом, выпускают собственные апдейты с задержкой в недели и месяцы. Это создаёт окно уязвимости, которое закрывается только самостоятельным переходом на upstream-версию — или ожиданием патча от производителя, которого может и не быть.
Параллельно сообщество развивает проект OpenWrt Two — следующее поколение открытого маршрутизатора собственной разработки. По опубликованным планам: SoC MediaTek MT7988, порт 10G SFP, порт 5G медь, четыре порта 2.5G, трёхдиапазонный Wi-Fi 7, производство через GL.iNet, ожидаемая цена около $250. Это сигнал: открытое сетевое железо перестаёт быть хобби-проектом и становится реальной альтернативой вендорским решениям с закрытым кодом.
Кейсы применения в бизнесе
B2B-SaaS стартап с офисом: если сеть держится на маршрутизаторе с OpenWrt — обновление до 25.12.3 закрывает CVE-2026-31431 и снижает риск внутренней атаки. Настройте автоматическую проверку новых образов через cron или внешний мониторинг прошивок. Стоимость работы — час DevOps, риск без патча — несопоставимо выше.
Корпорация с legacy-инфраструктурой: в корпоративных сетях КР и СНГ нередко встречаются устаревшие Mikrotik и Xiaomi-роутеры на кастомном OpenWrt. Провести аудит версий прошивок на всех сетевых узлах — задача на один sprint. Инвентаризация через SNMP или ручной обход точек доступа выявит устройства без патча за несколько часов.
SMB и локальный бизнес в КР: небольшой офис с Keenetic или Zyxel на OpenWrt может обновиться напрямую — версия 25.12.3 поддерживает Keenetic KAP-630 и Zyxel WX5600-T0. Обновление через веб-интерфейс LuCI занимает около 10 минут и не требует специальных знаний.
Кейсы в личной жизни
Разработчик с домашней лабой: Xiaomi AX6000 и Linksys MX5300 на OpenWrt получили исправления именно в этом релизе. Если стоит более старая прошивка, Copy Fail потенциально доступна любому, кто попал в домашнюю сеть. Обновление — 15 минут через SSH или LuCI.
Энтузиаст и хоббист: в январе 2026 года команда Collabora выпустила проект Debian on OpenWrt One — набор скриптов для запуска полноценного Debian GNU/Linux на маршрутизаторе OpenWrt One через NVMe-слот. По словам представителя Collabora:
«Этот проект предоставляет Rust-based flasher для установки Debian на OpenWRT One, открывая доступ к стандартным инструментам, пакетам и рабочим процессам Debian. Для разработчиков и опытных пользователей OpenWRT One превращается из сетевого устройства в компактную Linux-систему общего назначения».
Системный администратор на фрилансе: проактивное обновление клиентских роутеров до 25.12.3 плюс краткий отчёт о закрытой CVE — дополнительная ценность при минимальных трудозатратах. Такие вещи хорошо запоминаются заказчиком.
Как применить сегодня
- Проверьте версию прошивки на всех OpenWrt-устройствах: System → Software или через SSH командой
cat /etc/openwrt_release. Если ниже 25.12.3 — обновите. - Загрузите образ для своего устройства в разделе Downloads официального сайта OpenWrt. Перед скачиванием сверьтесь со списком поддерживаемых 2849 устройств — найдите точное название модели.
- Если устройство не в официальном списке — проверьте наличие backport-патча от производителя. Это актуально для Keenetic, Mikrotik и ряда других брендов с собственными форками прошивки.
- Для корпоративного парка: составьте реестр устройств с версиями прошивок. Это займёт меньше времени, чем разбор инцидента после эксплойта.
- Следите за проектом OpenWrt Two: открытый Wi-Fi 7 маршрутизатор за $250 от GL.iNet — потенциально разумная альтернатива вендорским решениям с закрытым кодом для тех, кто ценит прозрачность прошивки.