В банке данных угроз (BDU) безопасности информации зарегистрирована новая опасная уязвимость, получившая идентификатор BDU:2025-16377. Эта уязвимость затрагивает популярные маршрутизаторы Tenda AC18 и связана с критической ошибкой в их микропрограммном обеспечении. Эксперты оценивают угрозу как высокую, поскольку злоумышленник может удаленно выполнить произвольный код на устройстве, что фактически означает полный захват контроля над ним.
Детали уязвимости
Уязвимость существует в конкретной функции микропрограммы, обрабатывающей HTTP-запросы. Технически проблема классифицируется как выход за границы буфера (CWE-119). Если просто, то при обработке специально сформированного параметра с именем "scanList" программа выходит за пределы выделенной области памяти. В результате злоумышленник может перезаписать критически важные данные и заставить маршрутизатор выполнить свой вредоносный код (malicious payload).
Особую тревогу вызывает тот факт, что для успешной атаки нарушителю достаточно иметь права авторизованного пользователя низкого уровня. Например, он может действовать из локальной сети после базовой аутентификации. Более того, в открытом доступе уже существует рабочий эксплойт, что резко повышает риски массовых атак. Злоумышленники могут использовать уязвимость не только для установки полного контроля, но и для организации атаки типа "отказ в обслуживании" (Denial of Service), просто "положив" устройство перезагрузкой.
Уязвимой признана конкретная версия микропрограммы - 15.03.05.05 для маршрутизатора Tenda AC18. На данный момент производитель, компания Shenzhen Tenda Technology Co., Ltd., не предоставил официального исправления. Статус уязвимости и информация об устранении все еще уточняются. При этом уязвимость также зарегистрирована в международной базе Common Vulnerabilities and Exposures под идентификатором CVE-2025-14993.
Оценка по системам CVSS подчеркивает серьезность угрозы. Базовая оценка по CVSS 3.1 составляет 8.8 балла из 10, что соответствует высокому уровню опасности. Вектор атаки - сетевой, не требуется сложных условий или взаимодействия с пользователем. Следовательно, эксплуатация уязвимости относительно проста для подготовленных киберпреступников.
Специалисты по кибербезопасности настоятельно рекомендуют владельцам уязвимых устройств немедленно применить комплекс компенсирующих мер. Прежде всего, необходимо максимально ограничить удаленный доступ к веб-интерфейсу маршрутизатора из интернета. Идеально полностью отключить доступ по HTTP из внешних сетей. Кроме того, критически важно сегментировать внутреннюю сеть, чтобы изолировать маршрутизатор от других важных узлов.
Дополнительной защитой может стать использование систем обнаружения вторжений (IDS) и систем предотвращения вторжений (IPS), настроенных на сигнатуры данной уязвимости. Все административные доступы должны быть защищены сложными уникальными паролями. Для удаленного администрирования следует использовать только защищенные VPN-каналы, отказавшись от незашифрованных протоколов.
Данный инцидент в очередной раз демонстрирует уязвимость бюджетных сетевых устройств, которые часто становятся лакомой целью для злоумышленников. Владельцам подобного оборудования следует проявлять повышенную бдительность, своевременно обновлять микропрограммы и не пренебрегать базовыми настройками безопасности. Пока официального патча не существует, компенсирующие меры остаются единственным способом защиты от потенциальных атак, использующих эту критическую брешь.
Ссылки
- https://bdu.fstec.ru/vul/2025-16377
- https://www.cve.org/CVERecord?id=CVE-2025-14993
- https://github.com/z472421519/BinaryAudit/blob/main/PoC/BOF/Tenda_AC18/SetDlnaCfg/SetDlnaCfg.md#reproduce
