В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость в популярных маршрутизаторах Tenda AC1206. Идентификатор уязвимости - BDU:2026-02030, ей также присвоен идентификатор CVE-2026-0581. Проблема позволяет злоумышленнику, действующему удаленно без аутентификации, получить полный контроль над устройством для выполнения произвольных команд. Данные об уязвимости уже появились в открытом доступе, что значительно повышает риски для пользователей.
Детали уязвимости
Уязвимость затрагивает компонент "httpd", а именно функцию "formBehaviorManager" в микропрограммном обеспечении (прошивке) маршрутизатора. Технически, ошибка классифицируется как «инъекция» (CWE-74 и CWE-77). Проще говоря, веб-интерфейс устройства, который предназначен для управления настройками, недостаточно проверяет и не очищает входящие от пользователя данные. Следовательно, злоумышленник может отправить специально сформированный HTTP-запрос, содержащий вредоносные команды для операционной системы маршрутизатора. В результате этот код будет выполнен с максимальными привилегиями.
Уровень опасности уязвимости оценивается как критический. Система оценки CVSS версии 3.1 присваивает ей базовый балл 9.8 из 10. Это максимально высокий показатель, который указывает на чрезвычайную легкость эксплуатации и тяжелейшие последствия. Вектор атаки - сетевой (AV:N), для компрометации не требуется ни аутентификации (PR:N), ни взаимодействия с пользователем (UI:N). Успешная атака приводит к полной компрометации конфиденциальности (C:H), целостности (I:H) и доступности (A:H) системы.
Эксперты отмечают, что уязвимость затрагивает версию прошивки 15.03.06.23 для модели AC1206. Однако, учитывая практики разработки, аналогичные проблемы могут присутствовать и в других версиях ПО или моделях оборудования того же вендора. На данный момент производитель, Shenzhen Tenda Technology Co., Ltd., не предоставил информации о наличии патча или рекомендованного способа устранения уязвимости. Статус уязвимости и данные об исправлении всё ещё уточняются.
Главная опасность ситуации заключается в подтвержденном наличии эксплойта в открытом доступе. Соответственно, злоумышленники, в том числе не обладающие высокой квалификацией, уже могут использовать эту уязвимость для атак. Типичным сценарием является сканирование интернета на наличие уязвимых устройств с последующим внедрением вредоносного кода (payload). Например, маршрутизатор может быть превращен в бота для участия в DDoS-атаках, использован для кражи данных, проходящих через него, или для скрытого майнинга криптовалюты. Более продвинутые атаки могут быть направлены на получение устойчивости (persistence) в сети жертвы для последующего движения вглубь инфраструктуры.
В отсутствие официального обновления прошивки специалисты по кибербезопасности рекомендуют пользователям немедленно применить компенсирующие меры. Прежде всего, необходимо максимально ограничить доступ к веб-интерфейсу управления маршрутизатором. Идеальным решением является полное отключение доступа к административной панели из внешней сети. Настройки следует проводить только из внутренней локальной сети. Кроме того, крайне рекомендуется использовать функции межсетевого экрана для блокировки всех входящих запросов к портам веб-интерфейса устройства (обычно порт 80 или 443).
Для корпоративных пользователей и администраторов сетей дополнительной защитой могут стать системы обнаружения и предотвращения вторжений (IDS/IPS). Эти системы способны анализировать сетевой трафик и блокировать попытки эксплуатации известных уязвимостей, таких как CVE-2026-0581. Регулярный аудит сетевой инфраструктуры на предмет неавторизованных устройств и подозрительной активности также является важной частью стратегии защиты.
Данный инцидент в очередной раз подчеркивает важность своевременного обновления прошивок для всего сетевого оборудования, включая потребительские маршрутизаторы. Эти устройства часто являются слабым звеном в безопасности домашних и малых офисных сетей. Пользователям следует самостоятельно отслеживать информацию об уязвимостях на сайтах производителей и в официальных источниках, таких как BDU. В настоящее время рекомендуется следить за новостями от Tenda относительно выхода патча для модели AC1206. До тех пор пока обновление не будет выпущено и установлено, устройство следует считать потенциально скомпрометированным, а компенсирующие меры - обязательными для применения.
Ссылки
- https://bdu.fstec.ru/vul/2026-02030
- https://www.cve.org/CVERecord?id=CVE-2026-0581
- https://vuldb.com/?id.339473
- https://vuldb.com/?submit.731193
- https://github.com/ccc-iotsec/cve-/blob/Tenda/Tenda%20AC1206.md
- https://github.com/ccc-iotsec/cve-/blob/Tenda/Tenda%20AC1206%E5%91%BD%E4%BB%A4%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E.md
