TP-Link, küçük ofis/ev (SOHO) yönlendiricilerini enfekte etmek için iki güvenlik açıkından yararlanan bir botnet hakkında bir uyarı yayınladı ve daha sonra Microsoft 365 hesaplarına saldırmak için silahlandırıldı.
Güvenlik açıkları Archer C7 ve TL-WR841N/ND yönlendiricilerini etkiler, ancak diğer modeller de risk altında olabilir. Bu yönlendiricilerin ömrünün sonuna (EOL) ulaşmış olmasına rağmen, TP-Link yine de kusurları ele almak için ürün yazılımı güncellemeleri yayınladı.
İnternet servis sağlayıcınız (ISS) tarafından verilen bir yönlendiriciniz varsa, bu da kontrolü hak eder. Birkaç ISS, TP-Link Archer C7 ve TL-WR841N/ND yönlendiricilerini kullandı, bazen bunları özellikle Avrupa ve Kuzey Amerika’da müşterilere dağıtım için yeniden markaladı. Örneğin, Hollandalı ISS Ziggo’nun TP-Link Archer C7’yi “Wifibooster Ziggo C7” olarak yeniden markaladığı ve Ziggo’ya özgü ürün yazılımı ile müşterilere sağladığı bilinmektedir.
CVE-2025-50224 ve CVE-2025-9377 olarak izlenen iki güvenlik açığı, bir botnet’e yönlendirici eklemek için zincirlenir. CVE-2025-50224, bir saldırganın yönlendiriciden şifreleri çalmasına izin veren bir güvenlik açığıdır ve CVE-2025-9377 bilinen bir ebeveyn kontrol komutu enjeksiyonudur ve saldırganın kodlarını yönlendirici üzerinde çalıştırmasına izin verir.
Quad7 (AKA 7777) olarak adlandırılan BOTNET, Microsoft 365 hesaplarına karşı şifre yayma saldırıları yapmak için enfekte yönlendiricileri kullanır. Parola püskürtme tam anlamıyla birçok hesapta ortak şifreleri denemek veya aynı hesaba karşı birçok ortak şifre kullanmak anlamına gelir.
Geçen yıl, Microsoft aynı botnet hakkında uyardı, ancak o sırada belirli güvenlik açıkları bilinmiyordu. Botnet ev kullanıcıları ve küçük işletmelerden binlerce IP adresi kullandığından, tespit savunucular için zor olmaya devam ediyor. TP-Link, bu yönlendirici modellerinin sahiplerini güncellenmiş ürün yazılımını yüklemeye veya tam desteklenen bir yönlendiriciye geçmeye çağırıyor. Şirket ayrıca diğer modellerin savunmasız olabileceğine dair raporları araştırıyor. Bu arada, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) da bu iki kusur için tavsiyelerde bulundu.
TP-Link yönlendiricilerinin sahipleri için öneriler
Bir üreticinin bir EOL ürünü için bir ürün yazılımı güncellemesi yayınlaması nadirdir, bu da bu güncellemeyi dağıtmanın önemini vurgular. Bir botnet’in parçası olmak sadece başkaları için bir tehlike değildir, aynı zamanda ev cihazlarınızı önemli ölçüde yavaşlatabilir.
- Yönlendiricinizin bir Archer C7 veya TL-WR841N/ND veya başka bir eski TP-bağlantı modeli olup olmadığını kontrol edin. Öyleyse, ürün yazılımınızı TP-Link tarafından sağlanan sürümle hemen güncelleyin.
- Ürün yazılımı güncellemeleri artık sağlanmıyorsa veya yönlendiriciniz desteksizse, desteklenen bir modele yükseltmeyi güçlü bir şekilde düşünün.
- Yönlendiricinizin yönetici şifresini güçlü, benzersiz bir değerle değiştirin, yani parolaları diğer hesaplardan yeniden kullanmaktan kaçınmalısınız.
- Kesinlikle gerekli olmadıkça uzaktan yönetim özelliklerini devre dışı bırakın ve her zaman ebeveyn kontrol sayfalarına yalnızca kimliği doğrulanmış kullanıcılar tarafından erişilebileceğini kontrol edin.
Microsoft 365 kullanıcıları için öneriler
Botnet şu anda Microsoft 365 hesaplarını devralmak için kullanıldığından, bunu çok daha zor hale getirmek için yapabileceğiniz birkaç şey var.
Botnet gibi tehditlerin önünde kalmak, cihazların yamalı tutmak, güçlü kimlik doğrulama uygulamalarını kullanarak ve cihaz güvenliği ile ilgili güncellemeler için uyanık tutmak anlamına gelir. Yönlendiriciniz – veya Microsoft 365 hesabınız – başka birinin saldırı araç setinin bir kısmını oluşturana kadar beklemeyin.
Sadece tehditler hakkında rapor vermiyoruz, tüm dijital kimliğinizi korumaya yardımcı oluyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. Kimlik korumasını kullanarak kişisel bilgilerinizi ve ailenizin kişisel bilgilerini koruyun.