В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критические уязвимость в популярных домашних маршрутизаторах Tenda WH450. Проблема, получившая идентификатор BDU:2025-16184, связана с ошибкой в функции SafeUrlFilter() микропрограммного обеспечения устройства. Уязвимость позволяет злоумышленнику, действующему удалённо без аутентификации, вызвать переполнение буфера в памяти. В результате возможны два критических сценария: полный отказ в обслуживании устройства или, что значительно опаснее, выполнение произвольного вредоносного кода на маршрутизаторе.
Детали уязвимости
Уязвимость затрагивает маршрутизаторы Tenda WH450 с версией микропрограммного обеспечения 1.0.0.18. Эксперты классифицировали её как уязвимость кода типа «выход операции за границы буфера в памяти». Согласно общепринятой системе оценки CVSS, уровень опасности признан критическим. Базовые оценки достигают максимальных 10 баллов по CVSS 2.0 и 9.8 баллов по CVSS 3.1. Высокие оценки обусловлены тем, что для эксплуатации не требуется ни предварительной аутентификации, ни действий со стороны пользователя, а атака может быть инициирована из любой точки интернета.
Наиболее тревожным аспектом является подтверждённое наличие работающего эксплойта в открытом доступе. Ссылка на доказательство концепции (PoC) размещена в публичном репозитории GitHub. Это означает, что технические детали эксплуатации уязвимости уже изучены сообществом, а инструменты для атаки могут быть легко адаптированы злоумышленниками. Следовательно, окно для потенциальных массовых атак может открыться в кратчайшие сроки.
Успешная эксплуатация данной уязвимости предоставляет злоумышленнику почти полный контроль над устройством. Например, злоумышленник может перехватывать и модифицировать интернет-трафик всех пользователей сети, перенаправляя их на фишинговые сайты или внедряя в загрузки вредоносное ПО. Кроме того, возможна установка на устройство постоянного присутствия (persistence) для создания ботнета или использования маршрутизатора в качестве плацдарма для атак на другие устройства во внутренней сети, такие как компьютеры, камеры или умные домашние системы.
К сожалению, на текущий момент информация от производителя, компании Shenzhen Tenda Technology Co., Ltd., отсутствует. Статус уязвимости, а также способ и сроки её устранения пока уточняются. Неясно, выпустит ли вендор обновление микропрограммного обеспечения для закрытия дыры. Это создаёт значительные риски для пользователей, поскольку стандартный совет о своевременной установке патчей пока не применим.
В связи с этим эксперты по кибербезопасности настоятельно рекомендуют владельцам уязвимых маршрутизаторов немедленно принять комплекс компенсирующих мер. Во-первых, следует ограничить доступ к веб-интерфейсу маршрутизатора из внешней сети, отключив функцию удалённого администрирования. Во-вторых, рекомендуется использовать схему доступа по «белым спискам», разрешающую управление устройством только с определённых доверенных IP-адресов. В-третьих, если маршрутизатор используется в бизнес-среде, стоит рассмотреть развёртывание межсетевого экрана уровня веб-приложений (WAF) для фильтрации подозрительных HTTP-запросов.
Дополнительной мерой защиты может стать использование систем обнаружения и предотвращения вторжений (IDS/IPS), способных выявлять известные сигнатуры атак, направленных на эксплуатацию переполнения буфера. Для организации безопасного удалённого доступа к домашней или офисной сети необходимо пользоваться виртуальными частными сетями (VPN), которые шифруют трафик и скрывают уязвимые сервисы от прямого воздействия из интернета. В крайнем случае, если компенсирующие меры реализовать невозможно, следует рассмотреть вопрос о замене устройства на модель от другого производителя, своевременно выпускающего обновления безопасности.
Данная уязвимость также зарегистрирована в международной базе Common Vulnerabilities and Exposures под идентификатором CVE-2025-15010. Её обнаружение в очередной раз подчёркивает проблемы безопасности в сегменте недорогого потребительского сетевого оборудования. Часто такие устройства годами не получают обновлений, оставляя пользователей беззащитными перед новыми угрозами. Специалисты призывают более ответственно подходить к выбору сетевого оборудования, отдавая предпочтение вендорам с прозрачной и оперативной политикой обновлений.
Ссылки
- https://bdu.fstec.ru/vul/2025-16184
- https://www.cve.org/CVERecord?id=CVE-2025-15010
- https://github.com/z472421519/BinaryAudit/blob/main/PoC/BOF/Tenda_WH450/SafeUrlFilter/SafeUrlFilter.md
- https://vuldb.com/?submit.719219
- https://vuldb.com/?ctiid.337716
- https://vuldb.com/?id.337716
