В роутерах TP-Link обнаружили серьезную уязвимость безопасности.
Компания TP-Link подтвердила существование серьезной уязвимости в своих популярных моделях роутеров. Проблема пока не имеет исправления для большинства устройств в мире. Это ставит под угрозу безопасность данных миллионов пользователей, которые используют оборудование этого производителя, сообщает 24 Канал.
Китайский производитель сетевого оборудования TP-Link официально признал наличие ранее неизвестной уязвимости, которая затрагивает ряд его маршрутизаторов. Проблему обнаружил независимый исследователь безопасности, известный под псевдонимом Mehrun (ByteRay). Он быстро сообщил о ней компанию, поэтому решение уже ищут. В TP-Link заверили, что серьезно относятся к этой находке. Компания уже подготовила и готовится запустить исправления для европейских версий прошивок, однако работа над адаптацией патчей для моделей, продаваемых в США и других странах мира, еще продолжается.
Конкретных сроков выпуска обновлений производитель пока не назвал. Техническая команда также подробно анализирует уязвимость, чтобы определить, при каких условиях возможна эксплуатация, в частности, включен ли по умолчанию протокол удаленного управления CWMP (CPE WAN Management Protocol), в котором и кроется ошибка. Сама уязвимость, которой еще не присвоен идентификатор CVE, классифицируется как «переполнение буфера на основе стека». Простыми словами, проблема заключается в отсутствии проверки границ при обработке определённых типов сообщений, поступающих на роутер. Это позволяет злоумышленнику отправить специально сформированный пакет данных определенного размера, что приводит к сбою и дает возможность выполнить произвольный код на устройстве.
Чтобы осуществить такую атаку, хакеру нужно перенаправить уязвимый роутер на свой вредоносный сервер. Это становится возможным, если на устройстве установлена устаревшая прошивка с другими ошибками безопасности, или если пользователь не изменил стандартный пароль администратора, установленный производителем. Успешная атака открывает широкие возможности для злоумышленников. Они могут перенаправлять DNS-запросы на фишинговые сайты, незаметно перехватывать или изменять незашифрованный трафик, а также внедрять вредоносные скрипты в вебсессии пользователя.
Какие роутеры под угрозой?
- Исследователь подтвердил, что уязвимость присутствует в популярных моделях Archer AX10 и Archer AX1500.
- Потенциально под угрозой также могут быть модели EX141, Archer VR400, TD-W9970 и, вероятно, ряд других.
Что с этим делать?
Пока TP-Link работает над исправлениями, пользователям рекомендуется принять меры предосторожности:
- Изменить стандартный пароль для доступа к панели администратора.
- Отключить протокол CWMP, если он не используется.
- Регулярно проверять наличие и устанавливать последние обновления прошивки для своего устройства.
Ситуация осложняется тем, что это не единственная проблема с безопасностью продуктов TP-Link. Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) недавно предупредило об активной эксплуатации двух других уязвимостей в роутерах компании. Речь идет об ошибках с кодами CVE-2023-50224 (обход аутентификации) и CVE-2025-9377 (внедрение команд). Используя их в связке, хакеры могут получить полный контроль над устройствами.
По данным CISA, эти уязвимости с 2023 года использует ботнет Quad7, чтобы превращать взломанные роутеры на прокси-серверы. Через них китайские хакерские группировки осуществляют атаки, маскируя свою активность под обычный интернет-трафик. В 2024 году Microsoft зафиксировала, как этот ботнет использовали для атак на облачные сервисы и Microsoft 365 с целью похищения учетных данных.
