В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, затрагивающая маршрутизаторы Tenda F456. Проблема получила идентификатор BDU:2026-05840, а также международный номер CVE-2026-7057. Эксплуатация этой бреши позволяет удалённому злоумышленнику выполнить произвольный код на устройстве без аутентификации.
Детали уязвимости
Уязвимость кроется в функции fromSetCfm() микропрограммного обеспечения маршрутизатора. Ошибка относится к классическому переполнению буфера (CWE-120) - копирование данных без проверки размера входных параметров funcname и funcpara1. Отправляя специально сформированный POST-запрос, нарушитель может перезаписать участки памяти и внедрить вредоносную нагрузку (payload). Таким образом атака реализуется удалённо, что особенно опасно для устройств, подключённых к глобальной сети.
Версия уязвимого ПО - Tenda F456 версии 1.0.0.5. Производитель - компания Shenzhen Tenda Technology Co., Ltd. На момент написания статьи официальное обновление прошивки отсутствует. Статус уязвимости в BDU помечен как «данные уточняются». Однако уже известно, что эксплойт существует в открытом доступе: ссылка на PoC опубликована на GitHub.
Базовый вектор уязвимости по шкале CVSS версии 3.1 составляет 8,8 балла из 10. Это высокий уровень опасности. Для атаки требуются низкие привилегии, не нужно взаимодействие с пользователем. Сложность атаки низкая, а воздействие на конфиденциальность, целостность и доступность - максимальное. Иными словами, после успешного взлома злоумышленник получает полный контроль над маршрутизатором.
Чем это грозит владельцам устройств? Во-первых, атакующий может перехватывать и модифицировать сетевой трафик. Во-вторых, он способен использовать маршрутизатор как точку входа во внутреннюю сеть организации или дома. В-третьих, возможна установка бэкдоров для закрепления в системе (persistence). Особую опасность ситуация представляет для малого и среднего бизнеса, где подобные маршрутизаторы часто выполняют роль граничного оборудования.
Поскольку патч пока не выпущен, BDU рекомендует применять компенсирующие меры. Прежде всего, стоит ограничить доступ к веб-интерфейсу устройства из внешних сетей. Если маршрутизатор используется в корпоративной среде, рекомендуется настроить межсетевой экран (WAF) для фильтрации подозрительных POST-запросов. Дополнительно помогут системы обнаружения и предотвращения вторжений (IDS/IPS). Также следует минимизировать количество учётных записей и использовать сложные пароли.
К сожалению, это не единичный случай для устройств Tenda. Ранее в продуктах этого вендора уже находили подобные ошибки, связанные с переполнением буфера в функциях обработки HTTP-запросов. Проблема усугубляется тем, что многие пользователи не обновляют прошивку годами, а производители не всегда оперативно выпускают исправления.
Стоит отметить, что способ эксплуатации классифицируется как манипулирование структурами данных. Это означает, что атакующий целенаправленно формирует некорректные данные, чтобы вызвать сбой в логике работы программы. Наличие общедоступного эксплойта существенно повышает риски. Теперь злоумышленникам не нужно самим искать уязвимость - достаточно скачать готовый код.
Владельцам маршрутизаторов Tenda F456 рекомендуется временно отключить удалённый доступ к панели управления. Если это невозможно, следует настроить «белые списки» IP-адресов. Ожидается, что производитель выпустит исправление в ближайшие недели. Рекомендуется следить за официальным сайтом Tenda и установить обновление сразу после его появления.
В целом, данная находка в очередной раз напоминает о важности своевременного обновления сетевого оборудования. Маршрутизаторы - это не просто коробки для раздачи Wi-Fi, а полноценные компьютеры, которые нуждаются в защите. Пренебрежение безопасностью может привести к компрометации всей сети. С учётом высокого балла CVSS и доступности эксплойта, каждому пользователю стоит принять меры уже сегодня.
Ссылки
- https://bdu.fstec.ru/vul/2026-05840
- https://www.cve.org/CVERecord?id=CVE-2026-7057
- https://github.com/Litengzheng/vuldb_new/blob/main/F456/vul_128/README.md
