В Банк данных угроз безопасности информации (BDU) были внесены записи о трёх критических уязвимостях в микропрограммном обеспечении маршрутизаторов TRENDnet TEW-432BRP. Речь идёт о моделях с версией прошивки 3.10B20. Особую тревогу вызывает тот факт, что для каждой из этих уязвимостей уже существуют эксплойты в открытом доступе. Таким образом, любой злоумышленник, обладающий базовыми техническими навыками, может воспользоваться этими дырами для атаки.
Детали уязвимости
Первая уязвимость (BDU:2026-07803, CVE-2026-10064) скрывается в функции formSetPortTr в файле /goform/formSetPortTr. Проблема связана с выходом операции за границы буфера в памяти, а именно с переполнением буфера в стеке. Что это значит на практике? При обработке специально сформированного запроса программа позволяет записать данные за пределами выделенной для них области. В результате атакующий может либо полностью подменить поток выполнения - и тогда он выполнит произвольный код на устройстве, - либо вызвать отказ в обслуживании, просто положив маршрутизатор.
Две другие уязвимости (BDU:2026-07804, CVE-2026-10060 и BDU:2026-07805, CVE-2026-10061) относятся к классу инъекций команд. Одна из них находится в функции formSetRoute (файл /goform/formSetRoute), вторая - в formWPS (файл /goform/formWPS). Механизм эксплуатации схож: разработчики не предусмотрели фильтрацию специальных символов в выходных данных, которые затем используются управляющими компонентами. Иными словами, злоумышленник может встроить в запрос произвольные системные команды, и маршрутизатор исполнит их с правами, под которыми работает веб-интерфейс.
Все три уязвимости получили максимальный уровень опасности. По шкале CVSS 2.0 базовая оценка составляет 10 баллов из 10. По более современной версии 3.1 оценка достигает 9,8. Это объясняется тем, что для эксплуатации не требуется ни аутентификация, ни какое-либо взаимодействие с пользователем. Атакующему достаточно иметь сетевой доступ к порту, на котором работает веб-интерфейс маршрутизатора. Если устройство подключено к интернету и доступно извне, взлом становится тривиальной задачей.
Что это значит для владельцев таких маршрутизаторов? TRENDnet TEW-432BRP - устройство, которое могло быть куплено несколько лет назад и до сих пор используется в домах или небольших офисах. Вектор атаки - удалённый, то есть злоумышленник может находиться в любой точке мира. Последствия взлома серьёзны: получив контроль над маршрутизатором, он сможет перехватывать трафик, перенаправлять пользователей на фишинговые сайты, встраивать вредоносное ПО в передаваемые данные. Более того, скомпрометированное устройство может стать частью ботнета для DDoS-атак.
На данный момент компания Trendnet Inc. не выпустила официальное обновление прошивки. Статус устранения уязвимостей в BDU указан как "данные уточняются". Тем не менее существуют компенсирующие меры, способные снизить риск до выхода заплатки. Прежде всего стоит ограничить доступ к веб-интерфейсу маршрутизатора из внешних сетей. Если удалённое управление не используется, его лучше вообще отключить. Особенно опасно оставлять включёнными протоколы HTTP и Telnet, которые передают данные без шифрования. Специалисты рекомендуют использовать виртуальные частные сети (VPN) для организации любого удалённого доступа к устройству. Также полезно сегментировать сеть: разместить уязвимый маршрутизатор в изолированном сегменте, чтобы в случае взлома атакующий не получил доступ к критичным ресурсам.
Кроме того, стоит применять системы обнаружения и предотвращения вторжений (IDS/IPS). Они способны зафиксировать попытки эксплуатации этих уязвимостей, анализируя сетевой трафик на предмет аномалий. Важно также соблюдать парольную политику: использовать сложные уникальные пароли и менять их при малейшем подозрении на компрометацию.
С точки зрения индустрии этот инцидент - ещё одно напоминание о том, что устаревшее сетевое оборудование становится лёгкой мишенью. Производители обязаны своевременно реагировать на находки исследователей, особенно когда речь идёт о критических уязвимостях с опубликованными эксплойтами. Пользователям, в свою очередь, важно следить за обновлениями микропрограммного обеспечения и не пренебрегать базовыми мерами защиты.
Пока компания Trendnet не выпустит исправление, единственным надёжным способом избежать атаки остаётся полная изоляция этих маршрутизаторов от внешних сетей. В идеале стоит рассмотреть замену устройства на более новую и поддерживаемую модель. Тем более что стоимость современных маршрутизаторов с актуальными прошивками и встроенными механизмами защиты сегодня невысока. Но даже если замена невозможна, хотя бы отключите удалённое управление и поставьте межсетевой экран между устройством и интернетом. Это снизит поверхность атаки до минимума.
Ссылки
- https://bdu.fstec.ru/vul/2026-07803
- https://bdu.fstec.ru/vul/2026-07804
- https://bdu.fstec.ru/vul/2026-07805
- https://www.cve.org/CVERecord?id=CVE-2026-10064
- https://www.cve.org/CVERecord?id=CVE-2026-10060
- https://www.cve.org/CVERecord?id=CVE-2026-10061
- https://github.com/wudipjq/my_vuln/blob/main/TRENDnet/vuln_5/5.md
- https://github.com/wudipjq/my_vuln/blob/main/TRENDnet/vuln_1/1.md
- https://github.com/wudipjq/my_vuln/blob/main/TRENDnet/vuln_2/2.md
