Две уязвимости Acer Wave 7 с максимальной критичностью 10 из 10 оставляют владельцев mesh-роутеров в неприятной паузе: проблемы уже подтверждены, а патчей пока нет. Для IT-команд это не абстрактная история про домашний Wi-Fi, а очередное напоминание, что сетевое железо для малого офиса и филиалов по-прежнему умеет ломаться очень приземлённо: через логи с паролями и встроенные ключи шифрования.
О проблеме сообщает BleepingComputer со ссылкой на advisory Acer от 3 июня 2026 года. Компания признала два zero-day-дефекта в роутерах Wave 7 с прошивкой T7c_GBL_1.01.000055 или более ранней. Обе уязвимости нашёл исследователь безопасности Gergo Pap, и обе тянут на худший сценарий для сетевого устройства: удалённая атака без аутентификации и возможность закрепиться в системе.
Первая проблема получила идентификатор CVE-2026-49200. Это broken access control: файл acer_cgi.log доступен через веб-интерфейс без авторизации. Самое неприятное не в названии класса, а в содержимом этого файла. По данным Acer, в архиве логов хранятся логины и пароли в открытом виде, причём речь идёт не только о доступе к веб-панели, но и о Telnet. Иными словами, атакующему не нужно подбирать пароль, перехватывать трафик или искать сложную цепочку эксплуатации. Если доступ к интерфейсу есть, он может просто забрать готовые учётные данные и зайти в систему уже как штатный пользователь.
Вторая уязвимость, CVE-2026-49201, выглядит даже интереснее с точки зрения последствий. В бинарнике upload.cgi, который обрабатывает резервные копии устройства, оказался жёстко зашитый AES-ключ. Это даёт возможность расшифровать бэкап, изменить его содержимое и зашифровать обратно так, чтобы роутер принял файл как легитимный. На практике такой дефект открывает путь к внедрению постоянного бэкдора. Для защитников это особенно неприятный тип проблемы: если первая уязвимость позволяет быстро войти, то вторая помогает остаться надолго и пережить часть стандартных восстановительных процедур.
Пока Acer не выпустила обновления, которые закрывают уязвимости Acer Wave 7. Компания обещает исправления до конца июня 2026 года и советует сразу установить новую прошивку, как только она появится. До этого момента производитель рекомендует отключить удалённое управление, а если прошивка позволяет, ограничить интернет-доступ к админке списком доверенных IP-адресов. Совет правильный, но довольно минималистичный. Если устройство уже используется в небольшой компании, коворкинге, временном офисе проекта или в домашней сети руководителя с доступом к корпоративным сервисам, одними словами про trusted IP лучше не ограничиваться. Нужна быстрая инвентаризация таких роутеров, проверка версии прошивки и понимание, доступна ли панель управления из интернета вообще.
История неприятна ещё и тем, что обе ошибки выглядят не как экзотика, а как классика плохой инженерной гигиены в сетевых устройствах. Хранение паролей в открытом виде в логах и жёстко прописанный криптографический ключ трудно списать на слишком хитрую исследовательскую находку. Это те самые дефекты, из-за которых безопасность IoT и SMB-оборудования годами остаётся удобной мишенью. Роутер стоит на периферии инфраструктуры, администрируется редко, обновляется ещё реже, а живёт долго. В такой среде даже не самый сложный баг даёт атакующему высокий шанс на успех. Особенно если речь идёт о технике, которую покупают не крупные enterprise-команды с отдельным SOC, а малый бизнес, филиалы и пользователи, для которых «работает и ладно» долго считается приемлемой политикой сопровождения.
Для разработчиков и IT-руководителей здесь есть вполне прикладной вывод. Уязвимости Acer Wave 7 важны не только тем компаниям, у кого на столе стоит именно этот mesh-комплект. Это ещё один кейс про требования к сетевому оборудованию как к программному продукту: нужен понятный цикл обновлений, внятные security-advisory, отключённый по умолчанию лишний удалённый доступ и возможность централизованно проверить конфигурацию. Если роутер хранит чувствительные данные в логах, а резервные копии можно перепаковать с помощью встроенного ключа, проблема уже не в одном вендоре, а в классе процессов, где безопасность добавляют после релиза, а не до него. Для бизнеса это означает знакомую, но всё ещё плохо усвоенную мысль: дешёвое или просто удобное сетевое устройство может оказаться самым слабым звеном в инфраструктуре, даже если серверы и ноутбуки уже обложены EDR, MFA и прочими взрослыми мерами.
Сейчас интрига не в том, выпустит ли Acer патч к концу июня, а в том, сколько подобных устройств реально доступны извне и сколько владельцев вообще узнают о необходимости обновления. Рынок сетевого железа давно живёт в логике «поставил и забыл», а злоумышленники, наоборот, отлично помнят, что именно такие устройства удобнее всего превращать в тихую точку входа. Пока вендоры продолжают находить в прошивках пароли в логах и ключи в коде, разговор о безопасности edge-инфраструктуры остаётся не про модные стратегии, а про базовую дисциплину разработки, которой у отрасли всё ещё не хватает.