В Банке данных угроз безопасности информации (BDU) появилась новая запись под номером BDU:2026-01857, которая сигнализирует о серьёзной уязвимости в популярной IP-камере для умного дома TP-Link Tapo C260. Проблема, получившая идентификатор CVE-2026-0652, классифицируется как высокоопасная. Она связана с недостаточной проверкой входных данных и позволяет удалённому злоумышленнику выполнить произвольный код на устройстве. Производитель уже подтвердил наличие уязвимости и выпустил обновление для её устранения.
Детали уязвимости
Уязвимость относится к классу внедрения операционных системных команд. Технически, это означает, что микропрограммное обеспечение камеры не осуществляет должной нейтрализации специальных элементов в пользовательских данных. В результате, атакующий может внедрить и выполнить произвольные команды операционной системы, отправив специально сформированный POST-запрос. Эксплуатация этой уязвимости не требует от пользователя каких-либо действий, что делает её особенно опасной. Вредоносный код может быть выполнен удалённо, если злоумышленник имеет доступ к учётной записи с правами аутентификации на устройстве.
Оценка по различным версиям системы CVSS единогласно указывает на высокий уровень угрозы. В частности, базовая оценка по CVSS 3.1 составляет 8.8 баллов из 10. Высокий рейтинг обусловлен тем, что для атаки не требуется сложных условий, а последствия могут быть катастрофическими. Успешная эксплуатация уязвимости предоставляет полный контроль над устройством. Злоумышленник может получить конфиденциальные видеопотоки, отключить камеру, использовать её как точку входа в домашнюю сеть или установить на неё вредоносное ПО для постоянного присутствия в системе. Установка программы-вымогателя также является вероятным сценарием.
Уязвимость затрагивает все версии микропрограммного обеспечения камеры TP-Link Tapo C260, предшествующие версии 1.1.9. Именно в этой версии разработчики устранили недостаток. На текущий момент наличие публичных эксплойтов, то есть готовых инструментов для использования уязвимости, уточняется. Однако, после публикации информации в BDU, интерес со стороны киберпреступников к данному устройству может резко возрасти. Следовательно, промедление с обновлением создаёт значительные риски.
Единственным надёжным способом устранения угрозы является обновление микропрограммы камеры до актуальной версии. Компания TP-Link рекомендует всем владельцам модели Tapo C260 незамедлительно проверить наличие обновлений через фирменное приложение. Инструкции и ссылки для загрузки последней версии ПО размещены на официальном сайте производителя в разделе поддержки. Если автоматическое обновление не срабатывает, пользователям следует выполнить его вручную. Кроме того, эксперты по безопасности советуют по возможности изменить пароль по умолчанию на сложный и уникальный, а также убедиться, что камера не имеет прямого доступа из интернета без необходимости.
Обнаружение подобных уязвимостей в устройствах категории "умный дом" стало, к сожалению, регулярным явлением. Камеры, умные колонки и другие IoT-гаджеты часто становятся лёгкой добычей для злоумышленников из-за недостаточного внимания производителей к безопасности на этапе разработки. Данный инцидент с TP-Link служит очередным напоминанием о важности проактивных мер. Владельцам любых сетевых устройств необходимо выработать привычку регулярно проверять и устанавливать обновления безопасности. В противном случае, даже самая совершенная камера может превратиться в инструмент слежки за своими же хозяевами или в плацдарм для более масштабной атаки на всю домашнюю сеть.
Ссылки
- https://bdu.fstec.ru/vul/2026-01857
- https://www.cve.org/CVERecord?id=CVE-2026-0652
- https://www.tp-link.com/us/support/download/tapo-c260/v1/
- https://www.tp-link.com/en/support/download/tapo-c260/v1/
- https://www.tp-link.com/us/support/faq/4960/
