Aktívan kihasznált TP-Link router sebezhetőségek

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

Beküldte balacy -

Aktívan kihasznált TP-Link router sebezhetőségek – egy nulla napos hiba még mindig javítatlan

A CISA három kritikus TP-Link router sebezhetőséget vett fel az ismerten kihasznált sérülékenységek közé, megerősítve, hogy a támadók már aktívan visszaélnek velük. Eközben egy új, eddig javítatlan nulla napos (zero-day) hibát is nyilvánosságra hoztak, amely több ezer internetre kapcsolt eszközt érinthet, és súlyos kockázatot jelent.

Kritikus hibák a TP-Link routerekben

Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-védelmi Ügynöksége (CISA) három TP-Link routerhez kapcsolódó sebezhetőséget sorolt a Known Exploited Vulnerabilities (KEV) listájába. Ez a katalógus csak azokat a hibákat tartalmazza, amelyekkel szemben a támadók már ténylegesen fellépnek.

A legsúlyosabb a CVE-2025-9377 jelű hiba, amely OS parancsbeillesztést (OS command injection) tesz lehetővé a szülői felügyeleti (Parental Control) oldal egy paraméterén keresztül a TP-Link Archer C7 (EU) és a TL-WR841N/ND (MS) modelleken. Ezzel a sebezhetőséggel a támadók távoli kódfuttatást (RCE) érhetnek el.

A francia Sekoia.io biztonsági cég szerint ezt a hibát a kínai állami kapcsolatokkal rendelkező hackercsoport, a Quad 7 botnet is felhasználta, amely kompromittált SOHO routerek révén Microsoft 365 jelszószóró támadásokat hajtott végre.

Exploit lánc és további támadások

A támadási lánc a CVE-2023-50224 hibával indult, amely egy hitelesítés megkerülést (authentication bypass by spoofing) tesz lehetővé a TL-WR841N routerben. A támadók a HTTP menedzsment interfészen (alapértelmezetten TCP 80-as port) keresztül férhettek hozzá a jelszavakhoz, majd újrahasznosították azokat az RCE támadás végrehajtásához.

A harmadik KEV-listás hiba, a CVE-2020-24363, a TP-Link TL-WA855RE jelerősítőt érinti. Ez lehetővé teszi, hogy helyi hálózaton belüli, nem hitelesített támadók gyári visszaállítást és újraindítást idézzenek elő egy speciális TDDP_RESET POST kéréssel. Ezt követően új admin jelszót állíthatnak be, teljes kontrollt szerezve az eszköz felett. Bár ehhez a hibához már 2020-ban kiadták a javítást, sok eszköz továbbra is sebezhető, mert nem frissítették.

A TP-Link megerősítette, hogy a fenti modellek aktív támadások célpontjai voltak. Noha több eszköz már EOL (End of Life) vagy EOS (End of Service) státuszban van, a cég sürgősségi firmware-frissítéseket adott ki, és felhasználóknak azt ajánlja, hogy ahol a védekezés nem megoldható, inkább szüntessék meg az érintett eszközök használatát.

Javítatlan nulla napos hiba

Miközben a fent említett hibákhoz elérhetők frissítések, egy újonnan felfedezett, nulla napos (zero-day) sebezhetőség továbbra is javítatlan. Ez a hiba a TP-Link CWMP (TR-069) implementációját érinti, amely távoli menedzsmentre szolgál.

A problémát 2025 januárjában fedezte fel egy független kutató, Mehrun, és májusban jelentette a TP-Linknek. A sebezhetőség egy veremalapú puffer túlcsordulás (stack-based buffer overflow), amely a cwmp\:SetParameterValues SOAP üzenetek feldolgozása során lép fel. Az ellenőrizetlen bemenet miatt a támadók túlcsordulást idézhetnek elő, így átvehetik az irányítást a folyamat felett, és távoli kódfuttatást érhetnek el.

Egy működő proof-of-concept exploit bizonyította, hogy egy 4096 bájtos payload leállítja a CWMP szolgáltatást, és felülírja a program számlálót. A sérülékenység megerősítést nyert az Archer AX10 V1/V2 és AX1500 modelleken, de a kód újrafelhasználása miatt más típusokat is érinthet.

Amíg a TP-Link nem ad ki javítást, a felhasználóknak ajánlott:

  • a távoli adminisztráció letiltása,
  • az alapértelmezett jelszavak megváltoztatása,
  • a hálózati forgalom szoros monitorozása,
  • vagy az érintett eszközök mellőzése kritikus környezetben.

Szómagyarázat

  • CISA – Cybersecurity and Infrastructure Security Agency, amerikai kormányzati kiberbiztonsági ügynökség.
  • KEV katalógus (Known Exploited Vulnerabilities) – Olyan hivatalos lista, amely az aktívan kihasznált sérülékenységeket tartalmazza.
  • OS command injection – Olyan támadás, amelyben a támadó operációs rendszer parancsokat illeszt be a sebezhető alkalmazásba.
  • RCE (Remote Code Execution) – Távoli kódfuttatás, amikor a támadó tetszőleges programot futtathat a célgépen.
  • CWMP (TR-069) – CPE WAN Management Protocol, internetes eszközök (például routerek) távoli menedzsmentjére használt szabványos protokoll.
  • Stack-based buffer overflow – Klasszikus memóriakezelési hiba, amely lehetővé teszi a támadó számára, hogy a túlcsorduláson keresztül átvegye a futás feletti irányítást.
  • Proof-of-concept exploit – Bizonyítékul szolgáló kódrészlet vagy módszer, amely igazolja, hogy a sérülékenység ténylegesen kihasználható.
  • EOL/EOS – End of Life / End of Service; olyan állapot, amikor egy gyártó már nem biztosít támogatást vagy frissítést az adott eszközhöz.