В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьезная уязвимость, затрагивающая популярные умные устройства для дома от компании TP-Link. Речь идет о моделях умной розетки Tapo P100 и умного выключателя Tapo H200. Идентификатор уязвимости BDU:2026-02643, также ей присвоен идентификатор CVE-2025-15557. Суть проблемы заключается в ошибке типа CWE-295, то есть в некорректной проверке подлинности сертификата в микропрограммном обеспечении устройств.
Детали уязвимости
Эта фундаментальная ошибка в системе безопасности позволяет злоумышленнику, действующему удаленно без необходимости предварительной аутентификации, провести атаку "человек посередине" (man-in-the-middle). Проще говоря, злоумышленник может перехватить и подменить данные, которыми обмениваются устройство и пользовательское приложение. В результате под угрозой оказываются все три ключевых принципа информационной безопасности: конфиденциальность, целостность и доступность данных. Например, злоумышленник может получить доступ к истории использования устройств, передать на них вредоносные команды или полностью заблокировать управление.
Уровень опасности уязвимости оценен как высокий во всех современных системах оценки CVSS. Базовая оценка по шкале CVSS 3.1 составляет 8,8 балла из 10. Такая высокая оценка обусловлена сочетанием нескольких факторов. Во-первых, для эксплуатации уязвимости не требуются никакие привилегии или действия со стороны пользователя. Во-вторых, атака может быть проведена через смежную сеть, что не ограничивает злоумышленника только локальным сегментом. В-третьих, успешная атака приводит к полному компрометированию устройства.
Важно отметить, что уязвимость затрагивает конкретные версии микропрограммного обеспечения. Для умной розетки Tapo P100 опасны все версии прошивки до 1.2.6 включительно. Соответственно, для умного выключателя Tapo H200 уязвимыми являются версии до 1.6.1. Производитель, компания TP-Link, уже подтвердил наличие данной проблемы и оперативно выпустил исправления.
Способ устранения угрозы является стандартным, но от этого не менее важным: необходимо немедленно обновить программное обеспечение уязвимых устройств до последней актуальной версии. Обновление обычно проводится через официальное мобильное приложение Tapo. Производитель рекомендует пользователям убедиться, что на их устройствах установлены версии прошивки новее указанных критических порогов. Актуальные инструкции всегда можно найти на официальном сайте поддержки TP-Link.
Данный случай ярко иллюстрирует типичные риски, связанные с безопасностью интернета вещей (IoT). Устройства, которые кажутся простыми, такие как розетка или выключатель, на самом деле являются полноценными сетевыми узлами. Следовательно, ошибки в их коде могут привести к серьезным последствиям. Например, скомпрометированное устройство может быть использовано для проникновения в домашнюю сеть, сбора данных или как плацдарм для дальнейших атак.
На текущий момент информация о наличии публичных эксплойтов, то есть готовых инструментов для эксплуатации уязвимости, уточняется. Однако высокая степень опасности и относительная простота предполагаемого вектора атаки делают эту уязвимость привлекательной мишенью для киберпреступников. Поэтому задержка с обновлением может быть чревата реальным взломом.
В заключение, пользователям устройств TP-Link Tapo P100 и H200 настоятельно рекомендуется проверить и обновить прошивку своих гаджетов. Эта простая процедура является единственной эффективной мерой для нейтрализации выявленной угрозы и защиты своей домашней сети от потенциального вторжения. Регулярное обновление программного обеспечения остается краеугольным камнем кибергигиены в современном цифровом мире, насыщенном умными устройствами.
Ссылки
- https://bdu.fstec.ru/vul/2026-02643
- https://www.cve.org/CVERecord?id=CVE-2025-15557
- https://www.tp-link.com/us/support/faq/4949/
- https://www.tp-link.com/en/support/download/tapo-p100/
- https://www.tp-link.com/en/support/download/tapo-h100/
- https://www.tp-link.com/us/support/download/tapo-p100/
- https://www.tp-link.com/us/support/download/tapo-h100/
