В Банке данных угроз безопасности информации (BDU) была зарегистрирована новая критическая уязвимость, затрагивающая беспроводные маршрутизаторы Tenda W30E. Идентификатор уязвимости - BDU:2026-00937, также ей присвоен идентификатор CVE-2026-24436. Проблема кроется в микропрограммном обеспечении устройства и связана с недостаточным ограничением попыток аутентификации (CWE-307). Проще говоря, устройство не блокирует и не замедляет многократные попытки ввода пароля, что делает возможной атаку методом перебора паролей (brute force).
Детали уязвимости
Уязвимы все маршрутизаторы Tenda W30E с версией микропрограммы до 16.01.0.19(5037) включительно. Производитель, компания Shenzhen Tenda Technology Co., Ltd., пока не предоставил информацию о доступности патча или способе устранения проблемы. Статус уязвимости и наличие эксплойта в настоящее время также уточняются.
Оценка по всем версиям системы CVSS указывает на критический уровень опасности. Базовый балл CVSS 3.1 составляет 9.8 из 10. Это означает, что для эксплуатации уязвимости не требуются никакие специальные условия или привилегии (PR:N), не нужно взаимодействие с пользователем (UI:N), а атака может проводиться удаленно через сеть (AV:N). Успешная атака может привести к полной компрометации устройства: злоумышленник может получить конфиденциальный доступ (C:H), осуществлять несанкционированные изменения конфигурации (I:H) и нарушать работу устройства (A:H).
Таким образом, удаленный злоумышленник может подобрать учетные данные для доступа к веб-интерфейсу управления маршрутизатором. Получив контроль, он способен перенастроить устройство по своему усмотрению. Например, можно изменить настройки DNS для перенаправления трафика на фишинговые сайты, внедрить в прошивку вредоносное ПО или использовать маршрутизатор как точку входа для дальнейшего продвижения во внутреннюю сеть. В корпоративной среде это создает значительные риски.
Эксперты BDU классифицировали эту проблему как уязвимость архитектуры. Следовательно, ее корень заложен в самой логике работы системы аутентификации, а не является случайной ошибкой в коде. Пока официальное исправление от вендора не выпущено, пользователям и администраторам крайне важно принять компенсирующие меры.
Прежде всего, необходимо максимально ограничить удаленный доступ к интерфейсу управления маршрутизатором из интернета. Идеальный вариант - полностью отключить функцию удаленного администрирования, если она не является жизненно необходимой. Кроме того, доступ к устройству должен быть разрешен только с доверенных сетей. Для этого следует использовать сегментирование сети и правила межсетевого экрана.
Крайне важно обеспечить использование стойких паролей, соответствующих строгой парольной политике. Длинная сложная фраза может значительно замедлить атаку перебором даже при отсутствии ограничений на попытки входа. Также рекомендуется запретить использование незащищенных протоколов, таких как HTTP или Telnet, для управления устройством, перейдя на HTTPS.
Для мониторинга и предотвращения атак стоит задействовать системы обнаружения и предотвращения вторжений (IDS/IPS). Эти системы могут выявлять аномальную активность, например, множественные неудачные попытки входа на одно устройство. Организация удаленного доступа к корпоративной сети должна осуществляться исключительно через защищенные виртуальные частные сети (VPN), что минимизирует необходимость открывать доступ к сетевым устройствам извне.
В настоящее время пользователям маршрутизаторов Tenda W30E рекомендуется следить за обновлениями на официальном сайте производителя. Поскольку информация об уязвимости стала публичной, можно ожидать роста сканирующей активности и попыток атак в ближайшее время. Своевременное применение компенсирующих мер является ключевым шагом для защиты сетевой инфраструктуры до момента выхода официального патча.
Ссылки
- https://bdu.fstec.ru/vul/2026-00937
- https://www.cve.org/CVERecord?id=CVE-2026-24436
- https://www.tendacn.com/product/W30E
- https://www.vulncheck.com/advisories/tenda-w30e-v2-lacks-rate-limiting-on-authentication
