Исследователями в области кибербезопасности была обнаружена и внесена в Банк данных угроз (BDU) под номером BDU:2026-02300 новая серьезная уязвимость в популярных маршрутизаторах Tenda модели F453. Эта уязвимость, получившая идентификатор CVE-2026-3272, оценивается как высокоопасная. Она позволяет злоумышленнику, действующему удаленно и имеющему учетную запись на устройстве, полностью скомпрометировать маршрутизатор.
Детали уязвимости
Проблема кроется в функции "fromDhcpListClient()" микропрограммного обеспечения (прошивки) устройства. Конкретно, разработчики допустили классическую ошибку переполнения буфера (CWE-120). При обработке параметра "page" в POST-запросе программа копирует пользовательские данные в выделенную область памяти (буфер) без предварительной проверки их размера. Следовательно, злоумышленник может отправить специально сформированный запрос с избыточным объемом данных. В результате эти данные перезаписывают соседние области памяти, что в конечном итоге позволяет выполнить произвольный код на атакуемом устройстве.
Уязвимость затрагивает маршрутизаторы Tenda F453 с версией прошивки 1.0.0.3. Важно подчеркнуть, что для эксплуатации уязвимости атакующему требуется предварительная аутентификация на уровне привилегий пользователя (PR:L в системе оценки CVSS 3.x). Однако, учитывая, что многие пользователи не меняют стандартные учетные данные администратора, угроза становится значительно более реалистичной. Более того, согласно данным BDU, эксплойт для этой уязвимости уже существует в открытом доступе. Это резко увеличивает риски, так как даже начинающие хакеры могут попытаться провести атаку.
Оценка по методологии CVSS подтверждает высокую степень угрозы. Базовая оценка по CVSS 2.0 составляет 9.0 из 10, а по более современной CVSS 3.1 - 8.8. Ключевые показатели указывают на то, что уязвимость может быть использована через сеть (AV:N), не требует сложных условий для эксплуатации (AC:L) и ведет к полному завладению устройством. В результате злоумышленник получает возможность читать конфиденциальную информацию (C:H), изменять настройки (I:H) или вывести устройство из строя (A:H).
К сожалению, на текущий момент информация о способе устранения уязвимости от производителя, Shenzhen Tenda Technology Co., Ltd., уточняется. Неизвестны ни дата выхода патча, ни статус его разработки. В связи с этим специалисты по безопасности настоятельно рекомендуют владельцам уязвимых маршрутизаторов немедленно применить комплекс компенсирующих мер.
В первую очередь, необходимо максимально ограничить доступ к веб-интерфейсу маршрутизатора. Идеальным решением является полное закрытие доступа к панели управления из внешней сети. Одновременно следует изменить все пароли по умолчанию на сложные и уникальные, а также отключить неиспользуемые учетные записи. Эффективной мерой может стать сегментация сети, чтобы изолировать маршрутизатор от критически важных систем внутри инфраструктуры.
Кроме того, для защиты периметра целесообразно использовать межсетевые экраны уровня веб-приложений (WAF). Они способны фильтровать входящий трафик и блокировать подозрительные POST-запросы, которые могут эксплуатировать данную уязвимость. Дополнительный уровень безопасности обеспечат системы обнаружения и предотвращения вторжений (IDS/IPS), настроенные на выявление аномальной активности, связанной с переполнением буфера.
Данный инцидент в очередной раз демонстрирует критическую важность своевременного обновления прошивок на сетевом оборудовании. Пользователи и системные администраторы должны внимательно следить за информацией от вендоров и применять патчи сразу после их выпуска. Пока официальное исправление для Tenda F453 не доступно, компенсирующие меры остаются единственным способом снизить риск успешной кибератаки, которая может привести к перехвату интернет-трафика, краже данных или созданию точки постоянного доступа (persistence) для более масштабных операций внутри сети.
Ссылки
- https://bdu.fstec.ru/vul/2026-02300
- https://www.cve.org/CVERecord?id=CVE-2026-3272
- https://github.com/Litengzheng/vul_db/blob/main/F453/vul_71/README.md
