Acer Wave 7: due zero-day massimali, patch a fine giugno
Acer conferma due vulnerabilità CVSS 10.0 e 9.8 nel router Wave 7: credenziali in chiaro e backdoor via backup cifrato. Fix previsto per fine giugno 2026.
Contenuto
Acer ha pubblicato il 28 maggio 2026 un security advisory per il router consumer Wave 7, confermando due vulnerabilità di gravità massima nel firmware T7c_GBL_1.01.000055 e precedenti. Entrambe sono sfruttabili da remoto senza autenticazione: la prima espone credenziali amministrative in chiaro attraverso un file di log accessibile via web, la seconda permette di iniettare backdoor persistenti manipolando i backup del dispositivo grazie a una chiave AES hardcoded. La combinazione trasforma ogni Wave 7 esposto su internet in un punto di ingresso per la compromissione totale della rete, con persistenza che sopravvive ai riavvii. Il fix è in sviluppo con target fine giugno 2026.
- Il file
acer_cgi.logè accessibile senza autenticazione e contiene credenziali web e Telnet in chiaro: CVSS 4.0 di 9.8 - La chiave AES hardcoded in
upload.cgiconsente decrittazione, modifica e re-crittazione di backup con iniezione backdoor: CVSS 4.0 di 10.0 - Il firmware affetto è la versione T7c_GBL_1.01.000055 o precedenti; nessun workaround documentato nell'advisory
- Il patch è pianificato per fine giugno 2026, circa quattro settimane dopo la pubblicazione dell'advisory
La falla informativa: credenziali in chiaro nel log di sistema
La prima vulnerabilità risiede nel file acer_cgi.log, componente standard del firmware Wave 7. L'advisory di Acer descrive il meccanismo con precisione: il file è raggiungibile attraverso l'interfaccia web senza che venga richiesta alcuna forma di autenticazione. Al suo interno sono archiviate in chiaro le credenziali di accesso sia per l'interfaccia di amministrazione web che per il servizio Telnet.
"The acer_cgi.log file in the device firmware is accessible without authentication via the web interface. This file contains cleartext login credentials (for web and Telnet), leading to unauthorized system access." — Acer Security Advisory
Il vettore di attacco è interamente remoto, non richiede privilegi pregressi né interazione dell'utente. Il punteggio CVSS 4.0 di 9.8 riflette questa configurazione: accessibilità di rete, assenza di complessità per l'attaccante, impatto alto su confidenzialità, integrità e disponibilità del sistema. La classificazione CWE è la 532, relativa a informazioni sensibili inserite in file di log senza adeguata protezione. Per un router consumer posizionato tipicamente al confine tra rete domestica e internet, questa esposizione equivale a lasciare la chiave di casa sotto lo zerbino digitale.
La catena di persistenza: dalla chiave AES alla backdoor nei backup
La seconda vulnerabilità eleva il rischio da compromissione a controllo totale persistente. Il binario upload.cgi, responsabile della gestione dei backup del dispositivo, contiene una chiave AES hardcoded. Questa chiave permette a chiunque la conosca — e l'hardcoding la rende intrinsecamente nota — di decrittare un backup esportato dal router, modificarne il contenuto per inserire codice malevolo, e reimportarlo nel dispositivo.
L'advisory di Acer descrive esplicitamente la conseguenza: "facilitating persistent backdoor injection". La persistenza è il punto critico. A differenza di una modifica volatile alla configurazione runtime, la backdoor iniettata attraverso il backup si salva nella memoria non volatile del router e sopravvive a riavvii, reset parziali o aggiornamenti firmware che non sovrascrivano esplicitamente la partizione compromessa.
Il punteggio CVSS 4.0 di 10.0 — il massimo teorico — include l'impatto esteso al sottosistema (SC:H, SI:H, SA:H), indicando che la compromissione non si limita al singolo dispositivo ma può propagarsi ai componenti collegati. La classificazione CWE è la 798, per credenziali crittografiche hardcoded. La combinazione con la prima vulnerabilità crea una catena di attacco in due fasi: accesso alle credenziali, poi escalation verso persistenza silenziosa.
La finestra di esposizione: ~30 giorni senza difesa documentata
Acer ha reso pubblico l'advisory il 28 maggio 2026 con una timeline che fissa il rilascio del firmware correttivo "by the end of June 2026". L'intervallo è di circa quattro settimane. L'advisory non elenca workarounds temporanei, contromisure manuali né procedure di mitigazione intermedia. Per un dispositivo consumer posizionato tipicamente con servizi esposti su internet — Telnet è attivo e le credenziali sono in chiaro — questo lag lascia gli utenti senza opzioni difensive verificabili.
Il dossier non specifica se Acer abbia coordinato la disclosure con network di threat intelligence, se siano stati emessi avvisi a operatori telecom che distribuiscono il Wave 7, né se il ricercatore Gergo Pap abbia ricevuto risposta entro tempi definiti prima della pubblicazione. Ciò che emerge è un modello di comunicazione "upcoming fix" che presume la capacità degli utenti di attendere senza esposizione attiva: una presupposizione ottimistica per hardware consumer gestito da utenti non tecnici.
Perche è importante
Il dossier non documenta misure correttive specifiche oltre all'aggiornamento firmware promesso. La fonte non specifica la natura dei dati eventualmente già esposti da router compromessi, né indica se esistano indicatori di compromissione verificabili dagli utenti. Non emergono sovrapposizioni infrastrutturali che colleghino questa vulnerabilità a campagne note allo stato attuale, ma l'assenza di tale collegamento nel brief non equivale a assenza di rischio: semplicemente non è documentata.
La struttura stessa dell'advisory — dettagliata sul meccanismo tecnico, vaga sulle contromisure immediate — riflette una tensione comune nella responsabilità disclosure di dispositivi embedded consumer. Il vendor ha la priorità di riconoscere la scoperta del ricercatore e fissare una timeline; l'utente finale riceve un avviso di pericolo senza leve operative. In un contesto SoHo o domestico, dove non esiste un SOC che monitori anomalie, questa asimmetria è particolarmente marcata.
Il Wave 7 è un router Wi-Fi 7 di fascia consumer: la sua installazione tipica non prevede segmentazione di rete, logging centralizzato, né personale tecnico dedicato. La compromissione del dispositivo equivale alla compromissione del perimetro stesso, con possibilità di pivoting verso dispositivi interni che il brief non quantifica ma che la struttura della rete domestica rende tecnicamente fattibile.
FAQ
Quali versioni del Wave 7 sono confermate come vulnerabili?
L'advisory di Acer indica il firmware T7c_GBL_1.01.000055 e precedenti. Non è specificato se versioni successive già rilasciate siano immuni.
È possibile verificare se il proprio router è stato compromesso?
Il dossier non fornisce indicatori di compromissione (IoC) né procedure di forensic per utenti finali. L'unica verifica documentata è la versione firmware installata.
Perché il secondo punteggio CVSS è 10.0 mentre il primo è 9.8?
Il vettore CVSS:4.0 della seconda vulnerabilità include parametri di impatto sul sottosistema (SC:H/SI:H/SA:H) che elevano il calcolo al massimo teorico, oltre all'impatto sul sistema primario già presente nella prima.
La combinazione di credenziali in chiaro e persistenza via backup cifrato con chiave nota configura uno scenario in cui la disclosure responsabile lascia il campo apertamente esposto fino al fix promesso. La qualità tecnica dell'advisory Acer è indubbia: dettagli completi, riconoscimento del ricercatore, timeline dichiarata. La domanda che il documento non risolve è se questa forma di trasparenza sia sufficiente per chi non ha gli strumenti per agire sulle informazioni ricevute.
Fonti
- https://community.acer.com/en/kb/articles/19673
- https://www.fortinet.com/resources/cyberglossary/national-vulnerability-database-nvd
- https://support.google.com/analytics/answer/6004245?hl=en
- https://support.google.com/google-ads/answer/1722022?hl=en
- https://support.google.com/analytics/answer/14252663?hl=en
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.