Table Of Content
Компанія TP-Link підтвердила існування серйозної вразливості у своїх популярних моделях роутерів. Проблема поки що не має виправлення для більшості пристроїв у світі. Це ставить під загрозу безпеку даних мільйонів користувачів, які використовують обладнання цього виробника.
Як працює нова вразливість і чим вона загрожує?
Китайський виробник мережевого обладнання TP-Link офіційно визнав наявність раніше невідомої вразливості, яка зачіпає низку його маршрутизаторів. Проблему виявив незалежний дослідник безпеки, відомий під псевдонімом Mehrun (ByteRay). Він швидко повідомив про неї компанію, тож рішення вже шукають, пише 24 Канал з посиланням на Bleeping Computer.
У TP-Link запевнили, що серйозно ставляться до цієї знахідки. Компанія вже підготувала й готується запустити виправлення для європейських версій прошивок, однак робота над адаптацією патчів для моделей, що продаються у США та інших країнах світу, ще триває.
Конкретних термінів випуску оновлень виробник поки що не назвав. Технічна команда також детально аналізує вразливість, щоб визначити, за яких умов можлива експлуатація, зокрема, чи увімкнений за замовчуванням протокол віддаленого керування CWMP (CPE WAN Management Protocol), у якому й криється помилка.
Сама вразливість, якій ще не присвоєно ідентифікатор CVE, класифікується як “переповнення буфера на основі стека”. Простими словами, проблема полягає у відсутності перевірки меж під час обробки певних типів повідомлень, що надходять на роутер. Це дозволяє зловмиснику надіслати спеціально сформований пакет даних певного розміру, що призводить до збою і дає можливість виконати довільний код на пристрої.
Щоб здійснити таку атаку, хакеру потрібно перенаправити вразливий роутер на свій шкідливий сервер. Це стає можливим, якщо на пристрої встановлена застаріла прошивка з іншими помилками безпеки, або якщо користувач не змінив стандартний пароль адміністратора, встановлений виробником.
Успішна атака відкриває широкі можливості для зловмисників. Вони можуть перенаправляти DNS-запити на фішингові сайти, непомітно перехоплювати або змінювати незашифрований трафік, а також впроваджувати шкідливі скрипти у вебсесії користувача.
Які роутери під загрозою?
- Дослідник підтвердив, що вразливість присутня у популярних моделях Archer AX10 та Archer AX1500.
- Потенційно під загрозою також можуть бути моделі EX141, Archer VR400, TD-W9970 та, ймовірно, низка інших.
Що з цим робити?
Поки TP-Link працює над виправленнями, користувачам рекомендується вжити запобіжних заходів:
- Змінити стандартний пароль для доступу до панелі адміністратора.
- Вимкнути протокол CWMP, якщо він не використовується.
- Регулярно перевіряти наявність та встановлювати останні оновлення прошивки для свого пристрою.
Інші проблеми
Ситуація ускладнюється тим, що це не єдина проблема з безпекою продуктів TP-Link. Агентство з кібербезпеки та інфраструктурної безпеки США (CISA) нещодавно попередило про активну експлуатацію двох інших вразливостей у роутерах компанії. Йдеться про помилки з кодами CVE-2023-50224 (обхід автентифікації) та CVE-2025-9377 (впровадження команд). Використовуючи їх у зв’язці, хакери можуть отримати повний контроль над пристроями.
За даними CISA, ці вразливості з 2023 року використовує ботнет Quad7, щоб перетворювати зламані роутери на проксі-сервери. Через них китайські хакерські угруповання здійснюють атаки, маскуючи свою активність під звичайний інтернет-трафік. У 2024 році Microsoft зафіксувала, як цей ботнет використовували для атак на хмарні сервіси та Microsoft 365 з метою викрадення облікових даних.