В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьезная уязвимость в популярных маршрутизаторах Tenda F453. Уязвимость, получившая идентификаторы BDU:2026-02555 и CVE-2026-3398, связана с критической ошибкой в микропрограммном обеспечении устройства. Она позволяет злоумышленнику, действующему удаленно и имеющему учетную запись на устройстве, вызвать полный отказ в обслуживании, что делает маршрутизатор неработоспособным.
Детали уязвимости
Суть проблемы заключается в функции "fromAdvSetWan()", которая обрабатывает входящие сетевые данные. В ней отсутствует необходимая проверка размера входных данных перед их копированием в выделенный буфер памяти. Эта классическая ошибка переполнения буфера (CWE-120) означает, что, отправляя специально сформированный запрос, атакующий может записать данные за пределы отведенной области памяти. Следовательно, это приводит к краху процесса или всей системы, прерывая работу интернет-шлюза для всех подключенных пользователей.
Уровень опасности уязвимости оценивается как высокий во всех актуальных версиях системы оценки CVSS. Базовые оценки составляют 9.0 для CVSS 2.0 и 8.8 для CVSS 3.1. Более новая метрика CVSS 4.0 присваивает уязвимости оценку 7.4. Ключевыми факторами риска являются возможность удаленной эксплуатации через сеть (AV:N), низкая сложность атаки (AC:L) и необходимость наличия у злоумышленника учетных данных (PR:L). При успешной атаке возможна полная компрометация конфиденциальности, целостности и доступности системы.
На данный момент уязвимость затрагивает маршрутизаторы Tenda F453 с микропрограммой версии 1.0.0.3. Информация о других потенциально затронутых версиях или устройствах уточняется. При этом эксплойт уже находится в открытом доступе, что значительно повышает актуальность угрозы. Злоумышленники могут легко найти и адаптировать этот код для проведения массовых атак.
Производитель, Shenzhen Tenda Technology Co., Ltd., пока не предоставил информацию о способе устранения уязвимости, таком как выпуск патча или обновленной прошивки. Статус уязвимости и данные об ее устранении в настоящее время также уточняются. Это оставляет пользователей в состоянии неопределенности, вынуждая полагаться на компенсирующие меры безопасности.
Эксперты по кибербезопасности рекомендуют владельцам уязвимых устройств немедленно принять ряд защитных мер. Во-первых, следует максимально ограничить доступ к веб-интерфейсу маршрутизатора из внешней сети, отключив управление через Интернет. Во-вторых, необходимо сегментировать сеть, чтобы изолировать маршрутизатор от критически важных внутренних ресурсов. Кроме того, рекомендуется использовать виртуальные частные сети (VPN) для безопасного удаленного доступа вместо проброса портов.
Также эффективными мерами могут стать применение веб-брандмауэров (WAF) и систем обнаружения и предотвращения вторжений (IDS/IPS) для фильтрации подозрительного трафика. Администраторам следует провести аудит учетных записей, отключив неиспользуемые, и убедиться, что все активные пользователи имеют минимально необходимые для работы привилегии. Эти шаги не устранят уязвимость на уровне кода, но существенно усложнят ее эксплуатацию для злоумышленников.
Данный инцидент подчеркивает сохраняющуюся актуальность проблем безопасности в оборудовании для интернета вещей и сетевой периферии. Производителям необходимо уделять больше внимания безопасной разработке и тестированию кода, особенно для функций, обрабатывающих внешние данные. Пользователям, в свою очередь, важно следить за информацией от вендоров и своевременно применять обновления безопасности. Пока официальный патч не выпущен, владельцам Tenda F453 стоит рассмотреть возможность применения дополнительных средств защиты на сетевом уровне.
Ссылки
- https://bdu.fstec.ru/vul/2026-02555
- https://www.cve.org/CVERecord?id=CVE-2026-3398
- https://github.com/Litengzheng/vul_db/blob/main/F453/vul_82/README.md
