В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьезная уязвимость в популярных маршрутизаторах Tenda AC10U. Проблема, получившая идентификаторы BDU:2025-16477 и CVE-2025-15215, связана с классическим переполнением буфера. Эксплуатация этой уязвимости позволяет злоумышленнику, действующему удаленно и имеющему учетную запись на устройстве, получить полный контроль над маршрутизатором.
Детали уязвимости
Уязвимость затрагивает микропрограммное обеспечение, то есть прошивку, маршрутизаторов Tenda AC10U версий 15.03.06.49 и 15.03.06.48. Ошибка кроется в функции "formSetPPTPUserList()", которая отвечает за обработку данных пользователей VPN-сервера типа PPTP. Конкретно, функция некорректно обрабатывает параметр "list" в POST-запросе, копируя пользовательские данные в буфер фиксированного размера без предварительной проверки их длины. Эта фундаментальная ошибка программирования известна как переполнение буфера.
Как следствие, атакующий может отправить на веб-интерфейс управления маршрутизатором специально сформированный HTTP-запрос. Такой запрос содержит избыточное количество данных, которые перезаписывают соседние области памяти. В результате злоумышленник получает возможность выполнить произвольный код на целевом устройстве. Фактически, это означает полный компрометацию маршрутизатора. Злоумышленник может, например, перенаправить интернет-трафик через свои серверы, украсть учетные данные, отключить защиту или установить вредоносное ПО (malware) для создания ботнета.
Уровень опасности уязвимости оценен как высокий по всем современным методикам CVSS. Оценка по CVSS 3.1 составляет 8.8 балла из 10. Ключевыми факторами риска являются возможность атаки через сеть без необходимости взаимодействия с пользователем (None) и требование наличия у атакующего низких привилегий, таких как стандартный логин и пароль для доступа к панели управления. При этом воздействие на конфиденциальность, целостность и доступность системы оценивается как максимальное.
Согласно данным BDU, эксплойт уже существует в открытом доступе. Это значительно повышает актуальность угрозы, так как снижает порог входа для потенциальных атакующих. Эксперты отмечают, что подобные устройства часто становятся целью для APT групп и злоумышленников, создающих бот-сети для DDoS-атак или майнинга криптовалюты.
К сожалению, на текущий момент официальное исправление от производителя, Shenzhen Tenda Technology Co., Ltd., не выпущено. Статус уязвимости, как и способ ее устранения, указаны как "уточняются". Однако специалисты по кибербезопасности рекомендуют немедленно принять ряд компенсирующих мер для снижения риска.
Во-первых, критически важно ограничить доступ к веб-интерфейсу маршрутизатора. Необходимо запретить доступ к нему из внешней сети Интернет, оставив возможность управления только из локальной сети. Во-вторых, рекомендуется использовать сегментацию сети, чтобы изолировать маршрутизатор от других критически важных устройств. В-третьих, для защиты можно развернуть межсетевой экран уровня веб-приложений (WAF), который способен фильтровать подозрительные POST-запросы. Кроме того, системы обнаружения и предотвращения вторжений (IDS/IPS) могут помочь в выявлении попыток эксплуатации данной уязвимости.
Данный случай вновь обращает внимание на проблему безопасности недорогих сетевых устройств. Производители не всегда своевременно выпускают патчи для устаревших моделей, оставляя тысячи пользователей под угрозой. Эксперты призывают владельцев маршрутизаторов Tenda AC10U проявить бдительность, сменить пароли по умолчанию на сложные и отслеживать информацию о выходе обновления прошивки на официальном сайте вендора. До выхода патча единственным надежным способом защиты остается изоляция устройства от потенциальных атак извне.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-15215
- https://lavender-bicycle-a5a.notion.site/Tenda-AC10U-setPptpUserList-2d753a41781f80e8ba6bc37ba6100343
