Специалисты по кибербезопасности выявили критическую уязвимость в популярных домашних маршрутизаторах Tenda WH450, присвоив ей идентификатор BDU:2026-00587. Данная уязвимость, связанная с переполнением стека, позволяет удаленному злоумышленнику полностью скомпрометировать устройство без каких-либо учетных данных. Уязвимость уже получила идентификатор CVE-2025-15008, а в открытом доступе присутствуют рабочие эксплойты, что значительно повышает актуальность угрозы.
Детали уязвимости
Проблема кроется в компоненте HTTP Request Handler микропрограммного обеспечения маршрутизатора. Конкретно, ошибка возникает при обработке параметра "page" в веб-интерфейсе устройства. Из-за недостаточных проверок ввода, специально сформированные данные вызывают выход операции за границы буфера в памяти, точнее, классическое переполнение буфера в стеке. Это фундаментальная ошибка программирования, относящаяся к классу CWE-121.
Важно отметить, что эксплуатация уязвимости не требует от атакующего каких-либо привилегий или взаимодействия с пользователем. Согласно методологии оценки CVSS, уязвимость получила максимально возможные баллы по влиянию на конфиденциальность, целостность и доступность информации. Базовые оценки составляют 10.0 по шкале CVSS 2.0 и 9.8 по шкале CVSS 3.1, что соответствует критическому уровню опасности. Оценка по более новой шкале CVSS 4.0, которая учитывает дополнительные параметры, составляет 8.9 балла, что классифицируется как высокий уровень опасности.
Уязвимой является конкретная версия микропрограммного обеспечения - 1.0.0.18 для маршрутизатора Tenda WH450. На текущий момент вендор, компания Shenzhen Tenda Technology Co., Ltd., не предоставил информации о наличии обновления, устраняющего проблему. Статус уязвимости и способ ее устранения остаются на стадии уточнения. При этом, поскольку подробное техническое описание и код для воспроизведения опубликованы на платформе GitHub, риск активной эксплуатации крайне высок.
Успешная атака предоставляет злоумышленнику практически неограниченный контроль над маршрутизатором. Во-первых, атакующий может выполнить произвольный код от имени системных процессов. Это открывает путь для установки вредоносного ПО, кражи учетных данных, передаваемых через устройство, или организации скрытого доступа во внутреннюю сеть жертвы. Во-вторых, злоумышленник может изменить конфигурацию маршрутизатора, например, перенаправить DNS-запросы на подконтрольные серверы. В-третьих, возможна полная потеря доступности устройства путем его перезагрузки или повреждения микропрограммы.
Учитывая отсутствие официального патча, владельцам уязвимых устройств настоятельно рекомендуется принять компенсирующие меры. Эксперты советуют, по возможности, полностью ограничить доступ к веб-интерфейсу маршрутизатора из внешней сети, то есть из интернета. Идеальной практикой является настройка доступа только из доверенной внутренней сети. Кроме того, можно реализовать схему доступа по «белому списку», разрешающую подключения только с определенных IP-адресов.
Эффективной дополнительной защитой может стать развертывание межсетевого экрана уровня веб-приложений, известного как WAF. Такой экран способен фильтровать входящие HTTP-запросы и блокировать попытки манипуляции с опасным параметром "page". Также следует рассмотреть использование систем обнаружения и предотвращения вторжений (IDS, IPS). Эти системы могут детектировать известные сигнатуры атак, направленных на эксплуатацию переполнения буфера.
Для безопасного удаленного управления маршрутизатором необходимо использовать виртуальные частные сети. VPN создает зашифрованный туннель, что исключает прямой доступ к интерфейсу устройства из глобальной сети. Владельцам следует регулярно проверять официальный сайт производителя на наличие обновлений микропрограмм. Как только патч станет доступен, его нужно установить немедленно, поскольку данная уязвимость является одной из наиболее серьезных для устройств такого класса.
Обнаружение этой уязвимости подчеркивает сохраняющуюся актуальность проблем памяти в прошивках сетевого оборудования. Несмотря на то, что техники эксплуатации переполнения буфера известны десятилетиями, они продолжают появляться в потребительских устройствах. Следовательно, инцидент служит напоминанием для всех пользователей о необходимости ответственного подхода к безопасности домашней сетевой инфраструктуры, которая часто становится первой целью для атакующих.
Ссылки
- https://bdu.fstec.ru/vul/2026-00587
- https://www.cve.org/CVERecord?id=CVE-2025-15008
- https://github.com/z472421519/BinaryAudit/blob/main/PoC/BOF/Tenda_WH450/L7Prot/L7Prot.md#reproduce
- https://github.com/z472421519/BinaryAudit/blob/main/PoC/BOF/Tenda_WH450/L7Prot/L7Prot.md
- https://vuldb.com/?submit.719317
