В Банк данных угроз безопасности информации (BDU) была зарегистрирована уязвимость BDU:2026-09385 (CVE-2026-11405). Она затрагивает сразу несколько моделей маршрутизаторов китайского производителя Shenzhen Tenda Technology Co., Ltd. Речь идёт об устройствах Tenda FH1201, AC10, W15E, AC5 и AC6 V2.0. По оценке специалистов, эта проблема носит критический характер. Базовый балл по шкале CVSS версии 3.1 составил 9,8 из 10 возможных. Для сравнения, по старой шкале CVSS 2.0 оценка достигает максимальных 10 баллов. Таким образом, перед нами одна из самых серьёзных угроз для домашней и офисной сетевой инфраструктуры за последнее время.
Детали уязвимости
Суть уязвимости кроется в функции login (вход в систему), которая реализована в микропрограммном обеспечении перечисленных маршрутизаторов. Разработчики встроили в неё недокументированные команды конфигурации. Иными словами, внутри стандартного механизма аутентификации спрятаны скрытые возможности. Они позволяют удалённому злоумышленнику обойти штатную проверку пароля и получить полный доступ к веб-интерфейсу устройства. Согласно классификации CWE, данная ошибка относится к типу CWE-912, то есть к скрытым функциям. Это означает, что программный код содержит функции, которые не описаны в официальной документации и не предназначены для пользователя. По сути, это классический "чёрный ход" (backdoor), встроенный в прошивку.
Важно подчеркнуть, что для эксплуатации уязвимости не требуется никаких предварительных условий. Атакующему не нужно знать учётные данные, не нужно находиться в одной сети с жертвой. Достаточно, чтобы маршрутизатор был подключён к интернету и имел включённый веб-интерфейс удалённого управления (что часто бывает по умолчанию). Вектор атаки - сетевой, уровень сложности низкий. После успешной эксплуатации нарушитель получает права администратора, то есть может не только просматривать настройки, но и изменять их по своему усмотрению. Это открывает дорогу для целого ряда вредоносных действий.
Какие последствия может повлечь за собой эта уязвимость? Во-первых, злоумышленник способен перенаправить трафик жертвы на поддельные ресурсы, перехватить пароли от онлайн-банков и социальных сетей, внедрить вредоносный код в передаваемые данные. Во-вторых, он может перепрошить маршрутизатор или изменить конфигурацию таким образом, чтобы закрепиться в сети надолго. В-третьих, захваченные маршрутизаторы часто становятся частью ботнетов - сетей, используемых для DDoS-атак или майнинга криптовалют. Кроме того, из-за того, что маршрутизатор является точкой входа в домашнюю или офисную сеть, атакующий может атаковать другие устройства, подключённые к этому же маршрутизатору: компьютеры, камеры видеонаблюдения, "умные" колонки. Учитывая, что модели Tenda популярны в малом бизнесе и среди домашних пользователей по всему миру, масштаб потенциального ущерба весьма велик.
Особую тревогу вызывает тот факт, что эксплойт для данной уязвимости уже существует в открытом доступе. В описании BDU указано, что способ эксплуатации - злоупотребление функционалом, и ссылка на готовый инструмент обнаружена на платформе GitHub. Более того, производитель подтвердил наличие проблемы, но пока не выпустил исправляющую прошивку. В разделе "информация об устранении" сказано: "данные уточняются". Это означает, что патча на момент написания материала нет. В такой ситуации единственным спасением становятся компенсирующие меры, рекомендованные экспертами.
Специалисты советуют в первую очередь ограничить доступ к веб-интерфейсу маршрутизатор из внешних сетей, то есть из интернета. Если нет острой необходимости в удалённом управлении, эту функцию следует отключить в настройках устройства. Важно также сегментировать сеть: отделить критически важные устройства (рабочие ноутбуки, серверы) от потребительской сети, в которой работает маршрутизатор. Использование межсетевых экранов (брандмауэров) поможет заблокировать подозрительные входящие соединения. Для удалённого доступа, если он всё же необходим, стоит применять виртуальные частные сети (VPN) - они шифруют трафик и усложняют атаку. Кроме того, рекомендуется следить за обновлениями на официальном сайте Tenda и установить новую прошивку, как только она появится.
Наконец, стоит отметить, что Tenda - крупный вендор, и это не первый случай обнаружения серьёзных уязвимостей в её продукции. Ранее в моделях AC и FH уже находили критические дефекты, позволявшие выполнять произвольный код или обходить аутентификацию. Однако данный инцидент примечателен тем, что проблема заложена в самой логике работы функции входа - она содержит недокументированные команды, которые, по сути, являются бэкдором. В любом случае владельцам уязвимых устройств следует немедленно принять меры предосторожности, чтобы не стать жертвой атаки. Защита начинается с простого правила: не доверять настройкам по умолчанию и закрывать лишние порты.
Ссылки
- https://bdu.fstec.ru/vul/2026-09385
- https://www.cve.org/CVERecord?id=CVE-2026-11405
- https://github.com/HORKimhab/CVE-2026-11405
- https://kb.cert.org/vuls/id/213560