В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьёзная уязвимость в популярных домашних маршрутизаторах Tenda FH1202. Уязвимость, получившая идентификаторы BDU:2026-02721 и CVE-2026-3808, оценивается как высокоопасная. Она позволяет злоумышленнику удалённо выполнить произвольный код на устройстве, что потенциально ведёт к полному контролю над маршрутизатором.
Детали уязвимости
Проблема кроется в функции "formWebTypeLibrary()" микропрограммного обеспечения устройства. Конкретно, ошибка типа "выход за границы буфера" (CWE-119) возникает при обработке параметра "webSiteId". Проще говоря, специально сформированные данные могут выйти за пределы отведённой для них области памяти. В результате, отправляя вредоносный POST-запрос, атакующий может записать и выполнить произвольные команды.
Уязвимость затрагивает маршрутизаторы Tenda FH1202 с прошивкой версии 1.2.0.14(408). Производитель, компания Shenzhen Tenda Technology Co., Ltd., пока не предоставил информацию о наличии обновления, способа устранения или текущем статусе проблемы. При этом в открытом доступе уже существует эксплойт, что значительно повышает риски для пользователей. Эксперты отмечают, что подобные устройства часто не обновляются годами, делая их лёгкой мишенью.
Оценка по методологии CVSS подтверждает высокую критичность уязвимости. Например, базовая оценка CVSS 3.1 составляет 8.8 баллов из 10. Вектор атаки оценивается как сетевой (AV:N), не требующий сложных условий эксплуатации (AC:L). Для атаки необходимо иметь учётную запись с привилегиями на маршрутизаторе (PR:L), что на практике часто выполняется, если используются стандартные учётные данные. Успешная эксплуатация приводит к полной компрометации конфиденциальности, целостности и доступности системы (C:H/I:H/A:H).
Последствия успешной атаки могут быть крайне серьёзными. Злоумышленник, получив контроль над маршрутизатором, способен перенаправлять интернет-трафик, перехватывать пароли и личные данные, внедрять в посещаемые сайты вредоносный код. Кроме того, устройство может быть превращено в бота для проведения масштабных кибератак или стать точкой входа для распространения по домашней сети. В частности, возможна установка на устройство программ-вымогателей (ransomware), хотя для сетевого оборудования это менее типично.
К сожалению, поскольку официальный патч от вендора пока отсутствует, пользователям рекомендуется сосредоточиться на компенсирующих мерах. Во-первых, крайне важно изменить пароль администратора по умолчанию на уникальный и сложный. Во-вторых, следует ограничить доступ к веб-интерфейсу маршрутизатора из внешней сети, отключив функцию удалённого управления. Также эффективной мерой может стать сегментация сети, изолирующая критически важные устройства.
Для корпоративных пользователей дополнительными слоями защиты могут стать межсетевые экраны уровня веб-приложений (WAF), а также системы обнаружения и предотвращения вторжений (IDS/IPS). Эти инструменты способны фильтровать вредоносные запросы, направленные на эксплуатацию уязвимости. Организациям также рекомендуется вести инвентаризацию активов и следить за новостями о выходе обновлений безопасности.
Данный случай вновь обращает внимание на проблему безопасности устройств интернета вещей (IoT). Производители часто уделяют недостаточно внимания безопасной разработке и своевременному выпуску патчей. Пользователям же, в свою очередь, следует проявлять осмотрительность, регулярно проверяя наличие обновлений прошивки даже для таких, казалось бы, простых устройств, как домашний маршрутизатор. На текущий момент рекомендуется следить за официальным сайтом Tenda на предмет выхода новой версии прошивки для модели FH1202.
Ссылки
- https://bdu.fstec.ru/vul/2026-02721
- https://www.cve.org/CVERecord?id=CVE-2026-3808
- https://github.com/Svigo-o/Tenda_vul/tree/main/tenda-fh1202-webtypelibrary-websiteid-buffer-overflow
