В конце декабря 2025 года в Банке данных угроз безопасности информации (BDU) была зарегистрирована новая серьезная уязвимость. Она затрагивает популярные Wi-Fi адаптеры TRENDnet TEW-800MB и получила идентификатор BDU:2025-16427. Уязвимость связана с критической ошибкой в микропрограммном обеспечении устройства, которая позволяет удаленному злоумышленнику выполнить произвольный код на атакуемом устройстве. Эксперты оценивают уровень опасности как высокий, а эксплойт уже существует в открытом доступе.
Детали уязвимости
Уязвимость была обнаружена в функции "sub_F934()" микропрограммы адаптера версии 1.0.1.0. Технически проблема классифицируется как "непринятие мер по очистке данных на управляющем уровне" или "инъекция команд". Проще говоря, веб-интерфейс устройства, предназначенный для управления, некорректно обрабатывает входящие HTTP-запросы. В результате, отправив специально сформированный запрос, атакующий может внедрить и выполнить на устройстве любые команды. Это предоставляет ему практически полный контроль над адаптером.
Особую тревогу вызывает высокий уровень привилегий, которые получает злоумышленник после успешной атаки. Оценки по методологии CVSS подтверждают серьезность угрозы. Базовая оценка CVSS 3.1 составляет 8.8 баллов из 10. Важно отметить, что для эксплуатации уязвимости атакующему требуется лишь наличие учетной записи с правами доступа к веб-интерфейсу устройства. При этом не требуется взаимодействие с пользователем. Уязвимость имеет сетевой вектор атаки, что означает возможность эксплуатации удаленно, если устройство доступно из сети.
Потенциальные последствия успешного взлома крайне тяжелы. Злоумышленник может получить полный контроль над конфигурацией адаптера, перехватывать или перенаправлять сетевой трафик, а также использовать скомпрометированное устройство как точку входа для дальнейшего продвижения во внутреннюю корпоративную сеть. Более того, адаптер может быть превращен в инструмент для скрытого майнинга криптовалюты или стать частью ботнета. В худшем случае, вредоносная программа (payload) может быть загружена для обеспечения постоянного доступа (persistence), что позволит атакующему сохранять контроль даже после перезагрузки устройства.
На данный момент статус уязвимости и информация о доступном обновлении микропрограммы от производителя уточняются. Однако наличие работающего эксплойта в открытом доступе значительно повышает актуальность угрозы. Специалисты по кибербезопасности настоятельно рекомендуют немедленно принять компенсирующие меры, не дожидаясь официального патча.
Эксперты предлагают несколько стратегий для снижения риска. Прежде всего, необходимо ограничить доступ к веб-интерфейсам сетевых устройств из внешних сетей, включая интернет. Эффективной мерой является сегментация сети, которая изолирует потенциально уязвимые устройства от критически важных сегментов инфраструктуры. Кроме того, рекомендуется использовать межсетевые экраны уровня веб-приложений для фильтрации подозрительных HTTP-запросов. Системы обнаружения и предотвращения вторжений могут помочь в выявлении попыток эксплуатации данной уязвимости. Для безопасного удаленного доступа к сетевым ресурсам следует использовать виртуальные частные сети.
Данная уязвимость также зарегистрирована в международной системе Common Vulnerabilities and Exposures под идентификатором CVE-2025-15137. Этот случай вновь подчеркивает важность безопасности интернета вещей и сетевого периферийного оборудования. Часто такие устройства остаются без внимания администраторов безопасности, однако они могут стать слабым звеном в защите всей организации. Регулярный аудит подобных устройств, своевременное обновление микропрограмм и применение принципа минимальных привилегий для доступа являются ключевыми элементами современной стратегии защиты.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-15137
- https://pentagonal-time-3a7.notion.site/TRENDnet-TEW-800MB-NTP-2c7e5dd4c5a580f999adcaff2c31978b
