В Банке данных угроз безопасности информации (BDU) была зарегистрирована критическая уязвимость, затрагивающая микропрограммное обеспечение маршрутизаторов Tenda W30E. Этот дефект безопасности получил идентификатор BDU:2026-05727 и соответствующий номер CVE-2026-38835. Проблема связана с функцией formSetUSBPartitionUmount, которая некорректно обрабатывает параметр usbPartitionName. В результате злоумышленник, имеющий удаленный доступ к устройству, может отправить специально сформированный POST-запрос и выполнить произвольный код.
Детали уязвимости
Ошибка классифицируется как CWE-78 - непринятие мер по нейтрализации специальных элементов, используемых в команде операционной системы. Простыми словами, злоумышленник способен внедрить вредоносную команду в строку, которая затем исполняется на устройстве. Эксплуатация не требует сложных условий - достаточно низких привилегий (PR:L) и взаимодействия с интерфейсом по сети (AV:N). Базовая оценка по CVSS 3.1 составила 8,8 балла, что соответствует высокому уровню опасности. По версии CVSS 2.0 оценка достигла 9 баллов.
Уязвимость затрагивает версию прошивки 16.01.0.21 для маршрутизатора Tenda W30E. Это устройство позиционируется как сетевое оборудование для малого и среднего бизнеса. Вместе с тем, производитель - компания Shenzhen Tenda Technology Co., Ltd. - пока не предоставила официального обновления или подробностей об устранении. Статус уязвимости значится как «Данные уточняются», тогда как эксплойт уже опубликован в открытом доступе.
Нарушитель отправляет POST-запрос к уязвимому эндпоинту, передавая в параметре usbPartitionName строку, содержащую управляющие символы или команды оболочки. Поскольку функция не фильтрует входные данные, они попадают в вызов системной команды. Таким образом, атакующий может выполнить произвольные операции на маршрутизаторе. Например, изменить конфигурацию, установить вредоносное программное обеспечение или получить несанкционированный доступ к другим сегментам сети.
Следует отметить, что для успешной атаки требуется аутентификация - базовый вектор CVSS 3.1 включает низкие привилегии (PR:L). Тем не менее, многие маршрутизаторы Tenda W30E поставляются с типовыми учетными данными, которые пользователи не меняют. Следовательно, злоумышленнику может быть достаточно подобрать стандартный логин и пароль, после чего он получает возможность отправить вредоносный запрос.
Выполнение кода с правами суперпользователя на сетевом устройстве открывает широкие возможности для атакующего. Во-первых, скомпрометированный маршрутизатор может стать точкой входа во внутреннюю сеть организации. Во-вторых, он способен использоваться в качестве ретранслятора для дальнейших атак. Наконец, возможен перехват и модификация трафика, проходящего через устройство.
Поскольку официальное обновление прошивки пока отсутствует, эксперты рекомендуют использовать компенсирующие меры. Прежде всего, следует настроить межсетевой экран уровня веб-приложений (WAF) - он способен блокировать подозрительные POST-запросы, содержащие попытки внедрения команд. Кроме того, необходимо сегментировать сеть так, чтобы доступ к уязвимому маршрутизатору из интернета был ограничен. Если устройство находится во внешнем периметре, рекомендуется отключить неиспользуемые сервисы и ограничить список IP-адресов, с которых разрешена административная панель.
Системы обнаружения и предотвращения вторжений (IDS/IPS) также помогут выявить попытки эксплуатации на раннем этапе. Вместе с тем, важно минимизировать привилегии учетных записей - не использовать администратора для повседневных задач. Учетные записи, не задействованные в работе, следует удалить или заблокировать.
Особое внимание стоит уделить мониторингу событий безопасности. При обнаружении необычной активности на маршрутизаторе (например, неожиданные команды в логах) необходимо немедленно отключить устройство от сети и провести расследование.
Уязвимость BDU:2026-05727 представляет собой серьезную угрозу для владельцев маршрутизаторов Tenda W30E. Высокий уровень опасности, подтвержденный оценками CVSS, и наличие публичного эксплойта делают защиту от данного дефекта первоочередной задачей. Пока производитель не выпустит исправление, пользователям рекомендуется как можно быстрее внедрить перечисленные компенсирующие меры. Только комплексный подход - сочетание сетевых экранов, систем обнаружения атак и грамотной политики доступа - способен минимизировать риски эксплуатации этой уязвимости.
Ссылки
- https://bdu.fstec.ru/vul/2026-05727
- https://www.cve.org/CVERecord?id=CVE-2026-38835
- https://github.com/jsjbcyber/repo/blob/main/rep_2.md
