Krytyczne luki zero-day w routerach Acer Wave 7 zagrażają przejęciem dostępu i trwałym backdoorem - Security Bez Tabu

Krytyczne luki zero-day w routerach Acer Wave 7 zagrażają przejęciem dostępu i trwałym backdoorem

Cybersecurity news

Wprowadzenie do problemu / definicja

Acer potwierdził istnienie dwóch krytycznych luk typu zero-day w routerach mesh z serii Wave 7. Podatności umożliwiają zarówno nieautoryzowany odczyt poświadczeń zapisanych w logach, jak i trwałą modyfikację kopii zapasowych urządzenia z wykorzystaniem zaszytego w oprogramowaniu klucza kryptograficznego.

To wyjątkowo groźne połączenie, ponieważ łączy ujawnienie danych uwierzytelniających z możliwością utrzymania długoterminowego dostępu do urządzenia brzegowego. W praktyce oznacza to ryzyko pełnego przejęcia kontroli nad routerem oraz wykorzystania go jako punktu wejścia do dalszych działań w sieci.

W skrócie

Acer pracuje nad poprawkami dla dwóch podatności wpływających na urządzenia Wave 7 z firmware’em T7c_GBL_1.01.000055 lub starszym. Pierwsza luka pozwala bez uwierzytelnienia odczytać logi zawierające jawne dane logowania, a druga umożliwia modyfikację backupów dzięki twardo zakodowanemu kluczowi AES.

  • zagrożone są routery Acer Wave 7 z określonymi wersjami firmware’u,
  • atakujący może pozyskać poświadczenia administracyjne i Telnet z logów,
  • backup urządzenia może zostać odszyfrowany, zmodyfikowany i ponownie zaszyfrowany,
  • możliwe jest osadzenie trwałego backdoora przetrwającego restart i odtworzenie konfiguracji,
  • producent zapowiedział publikację poprawek do końca czerwca 2026 roku.

Kontekst / historia

Routery domowe oraz niewielkie systemy mesh od lat są atrakcyjnym celem dla cyberprzestępców. Dzieje się tak dlatego, że znajdują się na granicy sieci lokalnej i Internetu, a jednocześnie często pozostają długo bez aktualizacji i poza regularnym monitoringiem bezpieczeństwa.

W przypadku Acer Wave 7 problem jest szczególnie istotny, ponieważ wykryte błędy dotyczą dwóch różnych obszarów bezpieczeństwa. Z jednej strony występuje nieprawidłowa kontrola dostępu do wrażliwych danych, z drugiej zaś słabe zarządzanie materiałem kryptograficznym odpowiedzialnym za ochronę kopii zapasowych.

Taki zestaw podatności zwiększa prawdopodobieństwo złożonego łańcucha ataku. Napastnik może najpierw zdobyć poświadczenia, a następnie wykorzystać mechanizm backupu do utrwalenia dostępu i osadzenia zmian, które pozostaną aktywne nawet po standardowych działaniach administracyjnych.

Analiza techniczna

Pierwsza podatność, oznaczona jako CVE-2026-49200, wynika z błędnej kontroli dostępu do pliku logów dostępnego przez interfejs webowy urządzenia. Zgodnie z opisem możliwy jest nieautoryzowany odczyt pliku acer_cgi.log, który zawiera poświadczenia zapisane w postaci jawnego tekstu.

To krytyczny scenariusz, ponieważ eliminuje konieczność łamania haseł czy prowadzenia ataków brute force. Jeśli logi zawierają dane logowania do panelu administracyjnego i Telnetu, atakujący może po prostu pobrać plik i natychmiast użyć uzyskanych informacji do przejęcia urządzenia.

Druga luka, CVE-2026-49201, dotyczy komponentu upload.cgi odpowiedzialnego za obsługę kopii zapasowych. Problem polega na obecności twardo zakodowanego klucza AES w binarium, co umożliwia odszyfrowanie backupu, wprowadzenie zmian w jego zawartości, a następnie ponowne zaszyfrowanie pliku w formie akceptowanej przez router.

Z punktu widzenia bezpieczeństwa oznacza to naruszenie integralności mechanizmu backupu. Kopia zapasowa, która powinna służyć do bezpiecznego odtwarzania konfiguracji, może stać się nośnikiem trwałego backdoora lub złośliwej konfiguracji. W efekcie napastnik jest w stanie utrzymać dostęp do urządzenia nawet po restarcie lub przywróceniu ustawień z zainfekowanego pliku.

Dodatkowym problemem jest fakt, że w momencie ujawnienia podatności poprawki nie były jeszcze dostępne. Oznacza to okres podwyższonego ryzyka, w którym użytkownicy muszą polegać na działaniach tymczasowych ograniczających ekspozycję.

Konsekwencje / ryzyko

Skutki wykorzystania tych luk mogą być bardzo poważne zarówno w środowiskach domowych, jak i w małych firmach. Przejęcie poświadczeń administracyjnych otwiera drogę do zmiany ustawień DNS, przekierowania ruchu, aktywacji usług zdalnych, osłabienia reguł zapory oraz wykorzystania routera jako punktu wyjścia do dalszych ataków.

Jeszcze większe ryzyko wiąże się z możliwością trwałej modyfikacji kopii zapasowej. Taki backdoor może przetrwać standardowe działania naprawcze i umożliwiać długoterminową obecność atakującego w infrastrukturze. W praktyce może to prowadzić do podsłuchu ruchu, ataków man-in-the-middle, kradzieży danych uwierzytelniających oraz dalszej kompromitacji innych urządzeń w sieci.

Warto też pamiętać, że routery brzegowe często nie są objęte tak szczegółowym monitoringiem jak stacje robocze czy serwery. To sprawia, że naruszenie może pozostać niewidoczne przez długi czas, a jego skutki mogą obejmować zarówno utratę prywatności, jak i zakłócenie działania całej sieci.

Rekomendacje

Najważniejsze jest szybkie wdrożenie aktualizacji firmware’u natychmiast po ich publikacji przez producenta. Do tego czasu należy maksymalnie ograniczyć powierzchnię ataku oraz potraktować zagrożone urządzenia jako elementy podwyższonego ryzyka.

  • wyłączyć zdalne zarządzanie z Internetu, jeśli nie jest niezbędne,
  • ograniczyć dostęp administracyjny wyłącznie do zaufanych adresów IP,
  • zmienić hasła administracyjne oraz wszystkie poświadczenia, które mogły znaleźć się w logach,
  • wyłączyć Telnet, jeśli nie jest potrzebny operacyjnie,
  • zweryfikować ustawienia DNS, reguły zapory i konfigurację administracyjną,
  • sprawdzić integralność backupów oraz historię przywracania konfiguracji,
  • monitorować ruch wychodzący routera pod kątem nietypowych połączeń,
  • zastosować segmentację sieci, aby ograniczyć skutki ewentualnego przejęcia urządzenia,
  • przygotować bezpieczne odtworzenie konfiguracji z czystego i zweryfikowanego backupu po publikacji poprawek.

W organizacjach korzystających z tych urządzeń warto dodatkowo przeprowadzić inwentaryzację modeli i wersji firmware’u, ocenić ekspozycję usług administracyjnych oraz sprawdzić, czy te same poświadczenia nie były wykorzystywane również w innych systemach. W przypadku podejrzenia kompromitacji należy wykonać pełną rotację danych uwierzytelniających i rozszerzyć analizę na całą sieć wewnętrzną.

Podsumowanie

Incydent dotyczący Acer Wave 7 pokazuje, jak niebezpieczne mogą być błędy łączące brak właściwej kontroli dostępu z nieprawidłową ochroną materiału kryptograficznego. Jedna luka pozwala zdobyć poświadczenia bez logowania, a druga umożliwia trwałe osadzenie backdoora poprzez manipulację backupami.

Dla użytkowników i administratorów oznacza to konieczność natychmiastowego ograniczenia ekspozycji urządzeń oraz przygotowania się do wdrożenia poprawek. W przypadku sprzętu brzegowego nawet pojedyncza krytyczna podatność może przełożyć się na pełną kompromitację ruchu sieciowego i długotrwałą obecność napastnika w środowisku.

Źródła

  1. Acer working to patch max severity zero-days in Wave 7 routers — https://www.bleepingcomputer.com/news/security/acer-warns-of-max-severity-zero-days-affecting-wave-7-routers/
  2. Acer Security Advisory — https://community.acer.com/en/kb/articles/18680-security-vulnerability-in-acer-wave-7-router-t7
  3. CVE-2026-49200 — https://nvd.nist.gov/vuln/detail/CVE-2026-49200
  4. CVE-2026-49201 — https://nvd.nist.gov/vuln/detail/CVE-2026-49201