Непоправени пропуски позволяват кражба на пароли и внедряване на постоянни задни врати
Производителят на мрежово оборудване Acer потвърди наличието на две критични zero-day уязвимости в своите Mesh рутери от серията Acer Wave 7. И двата проблема са оценени с максимална степен на критичност и към момента все още няма налични корекции.
Уязвимостите са открити от изследователя по сигурността Герго Пап и засягат устройства с фърмуер версия T7c_GBL_1.01.000055 или по-стара.
Първата уязвимост разкрива пароли без необходимост от удостоверяване
Проблемът, проследяван като CVE-2026-49200, представлява нарушение на контрола за достъп. Благодарение на него външен нападател може дистанционно да получи достъп до лог файлове, съдържащи чувствителна информация.
Според информацията на Acer файлът acer_cgi.log може да бъде достъпен през уеб интерфейса без удостоверяване. В него се съхраняват в открит текст потребителски имена и пароли за административния интерфейс и Telnet услугите на устройството.
Това означава, че атакуващ може да получи административни идентификационни данни без да притежава предварителен достъп до рутера.
Втората уязвимост позволява внедряване на постоянен бекдор
Още по-притеснителна е втората уязвимост – CVE-2026-49201.
Тя е свързана с наличието на твърдо заложен криптографски ключ в компонента upload.cgi, който обработва резервните копия на конфигурацията.
Използвайки този AES ключ, нападател може:
- да декриптира архивите с резервни копия;
- да модифицира конфигурационните файлове;
- да добави злонамерени настройки или бекдори;
- да криптира отново архива и да го възстанови в устройството.
Така се създава възможност за устойчив и трудно откриваем пробив на рутера, който може да остане активен дори след рестартиране на устройството.
Корекции се очакват до края на юни
От Acer съобщават, че разработката на актуализации вече е в ход и че корекциите се очаква да бъдат публикувани до края на юни 2026 г.
След излизането на обновленията потребителите трябва незабавно да актуализират фърмуера чрез административния интерфейс на устройството.
Какво трябва да направят потребителите сега
Докато официалните корекции не бъдат публикувани, организацията препоръчва няколко временни мерки за ограничаване на риска:
- деактивиране на отдалеченото управление през интернет;
- ограничаване на достъпа до административния интерфейс само от доверени IP адреси, когато това е възможно;
- преглед на активните потребителски акаунти и конфигурации;
- наблюдение за подозрителни промени в настройките на устройството.
Рутерите остават предпочитена цел за атакуващите
Случаят подчертава нарастващия интерес на киберпрестъпниците към домашни и корпоративни мрежови устройства. Рутерите често работят непрекъснато, разполагат с директен достъп до интернет и в много случаи не получават своевременни актуализации, което ги превръща в привлекателна цел за компрометиране.
Комбинацията от достъп до административни пароли и възможност за внедряване на постоянни задни врати прави двете уязвимости сред най-сериозните проблеми, откривани в потребителско мрежово оборудване през последните месеци.
