В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость в популярных домашних маршрутизаторах Tenda A15. Эксперты присвоили ей идентификаторы BDU:2026-03440 и CVE-2026-4567. Эта уязвимость, связанная с переполнением буфера в стеке, позволяет злоумышленнику, действующему удаленно без аутентификации, полностью захватить контроль над устройством. Соответственно, угроза представляет серьезный риск для безопасности домашних сетей и малого бизнеса, где широко используются эти устройства.
Детали уязвимости
Техническая суть проблемы заключается в ошибке внутри функции "UploadCfg()" микропрограммного обеспечения маршрутизатора. Конкретно, при обработке параметра "File" в специальном HTTP-запросе происходит выход операции за границы буфера в памяти. Другими словами, из-за недостаточной проверки входных данных злоумышленник может отправить специально сформированный запрос, который перезапишет критически важные области памяти устройства. В результате атакующий получает возможность выполнить на маршрутизаторе любой произвольный код.
Опасность уязвимости подтверждается максимальными оценками по всем актуальным версиям системы оценки CVSS. Например, базовая оценка по CVSS 3.1 составляет 9.8 баллов из 10, что классифицируется как критический уровень опасности. При этом вектор атаки не требует от злоумышленника никаких привилегий или взаимодействия с пользователем. Фактически, устройство, доступное из интернета, может быть скомпрометировано полностью автоматически. Уязвимой является прошивка маршрутизаторов Tenda A15 версии V15.13.07.13.
Главная угроза заключается в том, что эксплойт для эксплуатации этой уязвимости уже существует в открытом доступе. Соответствующие доказательства концепции и примеры кода были опубликованы на платформе GitHub. Это значительно снижает порог входа для киберпреступников, которые теперь могут легко интегрировать данную атаку в свои инструменты. Например, подобная уязвимость может быть использована для создания ботнета, шифровальщика (ransomware) или для получения точки доступа во внутреннюю сеть жертвы.
После успешной эксплуатации злоумышленник получает практически неограниченный контроль над маршрутизатором. Он может перехватывать и модифицировать весь интернет-трафик, перенаправлять пользователей на фишинговые сайты, внедрять в загружаемые файлы вредоносный код или использовать устройство как плацдарм для атак на другие компьютеры в локальной сети. Более того, атакующий может обеспечить себе постоянное присутствие (persistence) в системе, даже после её перезагрузки, что делает очистку устройства крайне сложной задачей для обычного пользователя.
К сожалению, на текущий момент официальное исправление от производителя, компании Shenzhen Tenda Technology Co., Ltd., еще не выпущено. Статус уязвимости и способ устранения в базе BDU указаны как "Данные уточняются". Однако пользователям не стоит занимать выжидательную позицию. Эксперты по кибербезопасности настоятельно рекомендуют немедленно принять комплекс компенсирующих мер для снижения риска.
Во-первых, самым эффективным шагом является полное ограничение доступа к веб-интерфейсу маршрутизатора из глобальной сети интернет. Следует проверить настройки брандмауэра устройства и убедиться, что порты управления (часто 80 и 443) открыты только для локальной сети. Во-вторых, рекомендуется использовать сегментацию сети, если это возможно, чтобы изолировать критически важные устройства. Кроме того, можно рассмотреть развертывание межсетевого экрана уровня веб-приложений (WAF) для фильтрации подозрительных HTTP-запросов.
Для мониторинга и предотвращения атак стоит задействовать системы обнаружения и предотвращения вторжений (IDS/IPS). Эти системы могут быть настроены на детектирование известных сигнатур эксплойта, связанного с CVE-2026-4567. Важно регулярно проверять журналы маршрутизатора на наличие необычной активности, например, попыток доступа к функции "UploadCfg" с подозрительными параметрами. Владельцам уязвимых устройств также следует отслеживать официальный сайт Tenda на предмет выхода обновления прошивки и установить его немедленно после публикации.
Обнаружение этой уязвимости подчеркивает хроническую проблему безопасности в сегменте бюджетных сетевых устройств. Производители часто не уделяют достаточного внимания безопасной разработке и своевременному выпуску патчей. Пользователям, в свою очередь, необходимо проявлять повышенную бдительность. Следует не только быстро применять обновления, но и активно менять настройки безопасности по умолчанию, включая пароли администратора. В противном случае домашний маршрутизатор может превратиться из средства подключения к интернету в главную угрозу для конфиденциальности и цифровой безопасности всей семьи.
Ссылки
- https://bdu.fstec.ru/vul/2026-03440
- https://www.cve.org/CVERecord?id=CVE-2026-4567
- https://github.com/942384053/cve/issues/3
- https://github.com/user-attachments/files/25824036/Tenda.A15.V15.13.07.13.Unauthenticated.Stack-based.Buffer.Overflow.in._cgi-bin_UploadCfg.zip
