TP-Link, CISA saldırılarda diğer yönlendirici kusurlarının kullanıldığı konusunda uyardığı için, birden fazla yönlendirici modelini etkileyen bir sıfır günlük güvenlik açığının varlığını doğruladı.
Sıfır gün kırılganlığı, 11 Mayıs 2024’te TP-Link’e ilk kez bildirdiğini belirten Bağımsız Tehdit Araştırmacısı Mehrun (Byteray) tarafından keşfedildi.
Çin ağ ekipmanı devi, BleepingComputer’a şu anda kusurun sömürülebilirliğini ve maruz kalmasını araştırdığını doğruladı.
Avrupa modelleri için zaten bir yama geliştirilmiş olsa da, belirli bir tarih tahmini verilmeden bizim ve küresel ürün yazılımı sürümleri için düzeltmeler geliştirmek için çalışmalar devam etmektedir.
“TP-Link, Byteray tarafından bildirildiği gibi, belirli yönlendirici modellerini etkileyen yakın zamanda açıklanan güvenlik açığının farkındadır” diyor TP-Link Systems Inc.
“Bu bulguları ciddiye alıyoruz ve etkilenen Avrupa modelleri için zaten bir yama geliştirdik. Şu anda ABD ve diğer küresel sürümler için güncellemeleri uyarlamak ve hızlandırmak için çalışmalar devam ediyor.”
“Teknik ekibimiz, CWMP’nin varsayılan olarak etkinleştirilmesi de dahil olmak üzere cihaz maruziyet kriterlerini ve dağıtım koşullarını doğrulamak için bildirilen bulguları ayrıntılı olarak gözden geçiriyor.”
“Tüm kullanıcıları, resmi destek kanallarımız aracılığıyla kullanılabilir hale geldikçe en yeni ürün yazılımı ile cihazlarını güncel tutmaya şiddetle teşvik ediyoruz.”
Henüz kendisine atanmış bir CVE-ID’si olmayan güvenlik açığı, bilinmeyen sayıda yönlendirici üzerinde TP-Link’in CWMP (CPE WAN Yönetim Protokolü) uygulamasında yığın tabanlı bir arabellek taşmasıdır.
Yönlendirici ikili dosyalarının otomatik leke analizi yoluyla kusuru bulan araştırmacı Mehrun, sabun setparametervalues mesajlarını işleyen bir işlevde yattığını açıklıyor.
Sorun, ‘strncpy’ çağrılarını kontrol eden sınır eksikliğinden kaynaklanır, bu da yığın arabellek boyutu 3072 baytın üzerindeyken tampon taşması yoluyla uzaktan kod yürütülmesini mümkün kılar.
Mehrun, gerçekçi bir saldırının, savunmasız cihazları kötü niyetli bir CWMP sunucusuna yönlendirmek ve daha sonra arabellek taşmasını tetiklemek için büyük boy sabun yükünü sunmak olacağını söylüyor.
Bu, kullanıcıların değişmediği varsayılan kimlik bilgilerini kullanarak modası geçmiş ürün yazılımındaki kusurlardan yararlanarak veya cihaza erişerek ulaşılabilir.
RCE yoluyla tehlikeye atıldıktan sonra, yönlendiriciye DNS sorgularını kötü amaçlı sunuculara yeniden yönlendirmesi, şifrelenmemiş trafiği sessizce kesmesi veya manipüle etmesi ve Web oturumlarına kötü niyetli yükler enjekte etmesi talimatı verilebilir.
Araştırmacı, TP-Link Archer AX10 ve Archer AX1500’ün savunmasız CWMP ikili dosyalarını kullandığını test ederek doğruladı. Her ikisi de şu anda birden fazla pazarda satışa sunulabilen son derece popüler yönlendirici modelleridir.
Mehrun ayrıca Ex141, Archer VR400, TD-W9970 ve muhtemelen TP-Link’ten diğer birkaç yönlendirici modelinin potansiyel olarak etkilendiğini kaydetti.
TP-Link, hangi cihazların savunmasız olduğunu belirleyene ve onlar için düzeltmeleri serbest bırakana kadar, kullanıcılar varsayılan yönetici şifrelerini değiştirmeli, gerekmiyorsa CWMP’yi devre dışı bırakmalı ve cihazları için en son ürün yazılımı güncellemesini uygulamalıdır. Mümkünse, yönlendiriciyi kritik ağlardan ayırın.
Cisa sömürülen TP-Link kusurları konusunda uyarıyor
Dün, CISA, Quad7 Botnet’in yönlendiricileri tehlikeye atmak için sömürdüğü bilinen sömürülen güvenlik açığı kataloğuna iki TP-link kusuru, izlenen CVE-2023-50224 ve CVE-2025-9377’yi ekledi.
CVE-2023-50224 bir kimlik doğrulama baypası kusuru ve CVE-2025-9377 bir komut enjeksiyon kusuru. Birlikte zincirlendiğinde, tehdit aktörlerinin savunmasız TP-Link cihazlarında uzaktan kod yürütme kazanmalarına izin verirler.
2023’ten bu yana, Quad7 botnet, bunları vekillere ve trafik rölelerine dönüştüren yönlendiricilere özel kötü amaçlı yazılım yüklemek için kusurlardan yararlanıyor.
Çin tehdit aktörleri, bu tehlikeye atılan yönlendiricileri, tespit etmek için meşru trafikle harmanlarken proxy veya röle, kötü niyetli saldırılar için kullanıyorlar.
2024’te Microsoft, BotNet’i kullanan tehdit aktörlerini bulut hizmetleri ve Microsoft 365’e şifre sprey saldırıları gerçekleştirerek kimlik bilgilerini çalmayı amaçladı.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.