Két maximális súlyosságú, nulladik napi sérülékenységet azonosítottak az Acer Wave 7 mesh router sorozatában, amelyek a T7c_GBL_1.01.000055 és korábbi firmware-verziókat érintik. Mindkét CVE CVSS v4.0 szerinti pontszáma 10.0/10, és mindkettő távolról, hitelesítés nélkül kihasználható.
Az első sérülékenység, a CVE-2026-49200, amelynek a lényege, hogy az eszköz webes felületén az acer_cgi.log naplófájl autentikáció nélkül olvasható. Ez a fájl cleartext formában tartalmaz bejelentkezési hitelesítő adatokat. Egy egyszerű, nem hitelesített HTTP GET kéréssel a log-fájl lekérhető, a visszakapott fájlból kinyerhető a plaintext admin jelszó, amely automatikusan megnyitja az utat a teljes eszközvezérlés felé, beleértve a Telnet-shell elérést is.
A második sérülékenység a CVE-2026-49201, amely az upload.cgi binárisban jelenlévő beégetett (hardcoded) AES titkosítási kulcsra épül. Ez a CGI script felelős az eszközkonfigurációk biztonsági mentéseinek feldolgozásáért, és mivel a titkosítási kulcs statikusan van beleégetve a firmware-be, azt bármely támadó ismerheti, aki hozzáfér a firmware képhez.
A támadó először letölti az eszköz konfigurációs backup fájlját, amelyet az ismert hardcoded AES kulccsal visszafejt. A visszafejtett konfigurációs állományba ezt követően tetszőleges backdoor komponenst injektál. A manipulált fájlt ezután ugyanazzal a hardcoded kulccsal visszatitkosítja, majd feltölti az eszközre. Az újraindítást követően a backdoor aktív marad, mivel az eszköz a saját, általa legitimnek vélt konfigurációjából tölti be azt.
Ez a technika különösen veszélyes, mert a backdoor firmware szinten perzisztens. Egy egyszerű gyári visszaállítás sem szünteti meg feltétlenül, amennyiben a visszaállítás az ugyanolyan módon kompromittált backup alapján történik.
A két sérülékenység együttes kihasználása egy teljesen automatizálható, távolról futtatható exploit-láncot alkot. Az első lépésben a CVE-2026-49200 révén a támadó hitelesítés nélkül megszerzi a cleartext admin jelszót a naplófájlból. Ezt a jelszót felhasználva autentikált hozzáféréssel letölti az eszköz konfigurációs backupját, amelyet a CVE-2026-49201 által lehetővé tett hardcoded AES kulccsal módosít és backdoort injektál bele. A manipulált backup admin jogosultsággal kerül vissza az eszközre, aminek eredménye egy teljes, perzisztens rendszerhozzáférés.
A láncolás végeredménye, hogy a támadó teljes kontrollt szerez a hálózati gateway felett. Ez ideális pozíciót biztosít Man-in-the-Middle támadáshoz, DNS hijackinghoz, TLS tanúsítvány-lehallgatáshoz, vagy a belső hálózaton való laterális mozgáshoz. Mivel a router az összes csatlakozott eszköz forgalmát látja, a kompromittálódás hatása messze túlmutat magán az eszközön.
Érintett Verziók:
- Érintett verziók: T7c_GBL_1.01.000055 és korábbi
Az Acer megerősítette, hogy jelenleg nincs elérhető patch. A firmware frissítés várható megjelenési dátuma 2026. június vége.
A sérülékenységeket Pap Gergő biztonsági kutató fedezte fel és juttatta el felelős közzétételi eljárással (responsible disclosure) az Acer felé.
Azonnali Mitigációs Lépések:
- Távoli felügyelet letiltása (WAN oldalon) a leghatékonyabb védelmi lépés
- Remote management, UPnP és felesleges port forward szabályok eltávolítása a tűzfal szintjén
- Az admin felület elérésének megbízható IP-címekre korlátozása, ha a firmware ezt támogatja
- A router menedzsment interfészének kizárása az internet felőli elérhetőségből
- DNS kimeneti forgalom monitorozása. A szokatlan DNS-átírás backdoor jelenlétre utalhat
- Outbound kapcsolatok vizsgálata a routerből ismeretlen IP-tartományokba
Ha az eszköz nem izolálható, megfontolható az ideiglenes szegmentálás vagy az eszköz cseréje egy nem érintett modellre
Firmware frissítés (amint elérhető):
1. Csatlakozás a routerhez Wi-Fi-n vagy Ethernet-en
2. Böngészőben: http://192.168.76.1 vagy http://acerconnect.com
3. Bejelentkezés admin hitelesítőkkel
4. System Management → Firmware Update → Check for Updates