Банк данных угроз безопасности информации (BDU) опубликовал информацию о серии из семи критических уязвимостей в маршрутизаторах Tenda W20E ( BDU:2026-02497, BDU:2026-02498, BDU:2026-02499, BDU:2026-02501, BDU:2026-02502, BDU:2026-02503, BDU:2026-02504). Все обнаруженные дефекты получили максимальные оценки по шкале CVSS, что указывает на исключительно высокий риск эксплуатации. Уязвимые устройства работают под управлением микропрограммного обеспечения версии 15.11.0.6.
Детали уязвимости
Все обнаруженные уязвимости затрагивают одну и ту же модель маршрутизатора - Tenda W20E версии 4.0 с микропрограммным обеспечением 15.11.0.6. По данным BDU, проблемы кроются в коде веб-интерфейса управления устройством, а точнее, в функциях, обрабатывающих данные, поступающие от пользователя. Большинство из них - это классические переполнения буфера (CWE-120), когда данные копируются в область памяти без проверки их размера. Например, уязвимости в функциях "addAuthUser" или "addWewifiWhiteUser" возникают при обработке параметра "userInfo". Однако наиболее опасной является уязвимость в функции "doSystemCmd" (CVE-2026-24107), которая классифицируется как "внедрение кода" (CWE-94). Она позволяет напрямую выполнить произвольные системные команды, манипулируя параметром "usbPartitionName".
Уровень опасности этих уязвимостей оценивается как критический. Базовые оценки по шкале CVSS составляют максимальные 10.0 для CVSS 2.0 и 9.8 из 10 для CVSS 3.1. Такие высокие баллы обусловлены несколькими факторами. Во-первых, для эксплуатации не требуется аутентификации (PR:N), а атака может быть проведена удалённо через сеть (AV:N). Во-вторых, сложность атаки оценивается как низкая (AC:L). В-третьих, последствия успешной атаки являются наиболее серьёзными: полный компрометация конфиденциальности, целостности и доступности системы (C:H/I:H/A:H).
Успешная эксплуатация данных уязвимостей открывает перед злоумышленником широкие возможности. Теоретически, атакующий может получить полный контроль над маршрутизатором. Это позволяет перенаправлять трафик пользователей на фишинговые сайты, внедрять в него вредоносное ПО или использовать устройство в составе ботнета для проведения масштабных DDoS-атак. Более того, учитывая расположение маршрутизатора на границе сети, его компрометация может стать первым шагом для проникновения во все подключенные к нему устройства, включая компьютеры, смартфоны и камеры видеонаблюдения.
На момент публикации данных в BDU информация от вендора, компании Shenzhen Tenda Technology Co., Ltd., об устранении уязвимостей отсутствует. Статус уязвимостей и способ их устранения помечены как "уточняются". Следовательно, владельцам уязвимых устройств в настоящее время доступны только компенсирующие меры.
Специалисты по кибербезопасности рекомендуют немедленно принять ряд защитных мер. Крайне важно ограничить или полностью отключить удалённый доступ к веб-интерфейсу маршрутизатора из интернета. Кроме того, следует запретить использование незащищённых протоколов управления, таких как HTTP и Telnet, внутри локальной сети. Сегментация сети, то есть выделение маршрутизатора в отдельный изолированный сегмент, поможет ограничить потенциальный ущерб в случае его взлома. Также рекомендуется использовать комплексные средства защиты, такие как межсетевые экраны следующего поколения (NGFW) и системы обнаружения и предотвращения вторжений (IDS/IPS), настроенные на выявление аномальной активности, связанной с этими уязвимостями.
Обнаружение сразу восьми критических уязвимостей в одной модели потребительского сетевого оборудования поднимает вопросы о процессах безопасной разработки у производителей бюджетных устройств. Данный инцидент служит очередным напоминанием для как домашних пользователей, так и для малого бизнеса о важности регулярного обновления микропрограммного обеспечения и применения принципа минимальных привилегий даже к сетевым устройствам. Пока производитель не выпустит официальные патчи, безопасность сетей с использованием Tenda W20E версии 4.0 находится под серьёзной угрозой.
Ссылки
- https://bdu.fstec.ru/vul/2026-02497
- https://bdu.fstec.ru/vul/2026-02498
- https://bdu.fstec.ru/vul/2026-02499
- https://bdu.fstec.ru/vul/2026-02501
- https://bdu.fstec.ru/vul/2026-02502
- https://bdu.fstec.ru/vul/2026-02503
- https://bdu.fstec.ru/vul/2026-02504
- https://www.cve.org/CVERecord?id=CVE-2026-24109
- https://www.cve.org/CVERecord?id=CVE-2026-24108
- https://www.cve.org/CVERecord?id=CVE-2026-24107
- https://www.cve.org/CVERecord?id=CVE-2026-24111
- https://www.cve.org/CVERecord?id=CVE-2026-24113
- https://www.cve.org/CVERecord?id=CVE-2026-24114
- https://www.cve.org/CVERecord?id=CVE-2026-24112
- https://www.tenda.com.cn/material/show/2707
- https://github.com/akuma-QAQ/CVEreport/tree/main/D-link/CVE-2026-24109
- https://github.com/akuma-QAQ/CVEreport/tree/main/D-link/CVE-2026-24108
- https://github.com/akuma-QAQ/CVEreport/tree/main/D-link/CVE-2026-24107
- https://github.com/akuma-QAQ/CVEreport/tree/main/D-link/CVE-2026-24111
- https://github.com/akuma-QAQ/CVEreport/tree/main/D-link/CVE-2026-24113
- https://github.com/akuma-QAQ/CVEreport/tree/main/D-link/CVE-2026-24114
- https://github.com/akuma-QAQ/CVEreport/tree/main/D-link/CVE-2026-24112
