В российском банке данных уязвимостей (BDU) зарегистрирована новая серьёзная угроза безопасности под идентификатором BDU:2025-13861. Речь идет о критической уязвимости в популярных Wi-Fi маршрутизаторах Tenda AX3, связанной с переполнением буфера в стеке функции get_parentControl_list_Info. Эксплуатация данной уязвимости позволяет злоумышленникам осуществлять удалённые атаки на устройства.
Детали уязвимости
Уязвимость затрагивает конкретную версию микропрограммного обеспечения 16.03.12.10_CN, разработанного компанией Shenzhen Tende Technology Co., Ltd. При этом важно отметить, что проблема классифицируется как переполнение буфера в стеке (CWE-121), что относится к категории уязвимостей кода.
По системе оценки CVSS 2.0 уязвимость получила базовый балл 9.0, что соответствует высокому уровню опасности. Более современная оценка по CVSS 3.1 демонстрирует схожую картину - 8.8 баллов. Обе оценки подтверждают критический характер угрозы. Согласно вектору CVSS 3.1 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H), атака может проводиться через сеть, не требует сложных условий для эксплуатации и предоставляет злоумышленнику полный контроль над целевой системой.
Особую остроту ситуации придаёт тот факт, что эксплойт для данной уязвимости уже существует в открытом доступе. В частности, технические детали и доказательство концепции опубликованы на платформе GitHub. Это значительно увеличивает риски массового использования уязвимости злоумышленниками.
Уязвимость также получила международный идентификатор CVE-2025-63454, что подчёркивает её глобальную значимость. При этом способ эксплуатации основан на манипулировании структурами данных, что является классическим методом атак на переполнение буфера.
На текущий момент производитель не предоставил официального исправления. Статус уязвимости и способ устранения остаются на стадии уточнения. Однако эксперты по безопасности рекомендуют немедленно применить компенсирующие меры защиты.
В качестве временных решений специалисты рекомендуют несколько подходов. Прежде всего, следует использовать межсетевые экраны для ограничения удалённого доступа к устройствам. Также крайне важно ограничить доступ из внешних сетей, включая интернет. Отключение или ограничение функции удалённого управления может предотвратить попытки эксплуатации уязвимости, особенно через незащищённые протоколы типа HTTP или Telnet.
Дополнительные меры включают соблюдение строгой парольной политики, сегментирование сети для изоляции уязвимых устройств, а также использование систем обнаружения и предотвращения вторжений (IDS/IPS). Организация защищённого удалённого доступа через VPN также может значительно снизить риски эксплуатации.
Владельцам маршрутизаторов Tenda AX3 рекомендуется проявлять особую бдительность. Поскольку официального исправления пока не существует, именно компенсирующие меры становятся основной защитой. При этом важно постоянно отслеживать обновления от производителя, чтобы своевременно установить патч, когда он станет доступен.
Данный случай в очередной раз демонстрирует важность регулярного обновления микропрограммного обеспечения сетевых устройств. Более того, он подчёркивает необходимость комплексного подхода к безопасности, где компенсирующие меры играют ключевую роль в периоды между выпуском обновлений безопасности.
Специалисты продолжают мониторить ситуацию и ожидают реакции производителя. Между тем, пользователи должны осознавать серьёзность угрозы и принимать незамедлительные меры для защиты своих сетевых инфраструктур. Особенное внимание следует уделить корпоративным сетям, где последствия успешной атаки могут быть наиболее разрушительными.
Ссылки
- https://bdu.fstec.ru/vul/2025-13861
- https://www.cve.org/CVERecord?id=CVE-2025-63454
- https://github.com/0-fool/VulnbyCola/blob/main/Tenda/AX-3/2/1.md
