TP-Link telah mengkonfirmasi keberadaan kerentanan nol-hari yang tidak ditambatkan yang berdampak pada beberapa model router, karena CISA memperingatkan bahwa kelemahan router lain telah dieksploitasi dalam serangan.
Kerentanan zero-day ditemukan oleh peneliti ancaman independen Mehrun (Byteray), siapa yang mencatat bahwa ia pertama kali melaporkannya ke TP-Link pada 11 Mei 2024.
Raksasa peralatan jaringan Cina mengkonfirmasi kepada BleepingComputer bahwa saat ini sedang menyelidiki eksploitabilitas dan paparan cacat.
Meskipun tambalan dilaporkan sudah dikembangkan untuk model -model Eropa, pekerjaan sedang dilakukan untuk mengembangkan perbaikan untuk AS dan versi firmware global, tanpa perkiraan tanggal tertentu yang diberikan.
“TP-Link menyadari kerentanan yang baru-baru ini diungkapkan yang mempengaruhi model router tertentu, seperti yang dilaporkan oleh Byteray,” membaca pernyataan TP-Link Systems Inc. yang dikirim ke BleepingComputer.
“Kami menganggap serius temuan ini dan telah mengembangkan tambalan untuk model -model Eropa yang terkena dampak. Pekerjaan saat ini sedang berlangsung untuk beradaptasi dan mempercepat pembaruan untuk kami dan versi global lainnya.”
“Tim teknis kami juga meninjau temuan yang dilaporkan secara rinci untuk mengkonfirmasi kriteria paparan perangkat dan kondisi penyebaran, termasuk apakah CWMP diaktifkan secara default.”
“Kami sangat mendorong semua pengguna untuk menjaga perangkat mereka diperbarui dengan firmware terbaru karena tersedia melalui saluran dukungan resmi kami.”
Kerentanan, yang belum memiliki CVE-ID yang ditugaskan untuk itu, adalah overflow buffer berbasis tumpukan dalam implementasi CWMP TP-Link (CPE WAN Management Protocol) pada jumlah router yang tidak diketahui.
Peneliti Mehrun, yang menemukan cacat melalui analisis noda otomatis biner router, menjelaskan bahwa itu terletak pada fungsi yang menangani pesan setparametersues sabun.
Masalahnya disebabkan oleh kurangnya batas memeriksa panggilan ‘strncpy’, sehingga memungkinkan untuk mencapai eksekusi kode jarak jauh melalui buffer overflow ketika ukuran buffer tumpukan di atas 3072 byte.
Mehrun mengatakan serangan yang realistis adalah mengarahkan kembali perangkat yang rentan ke server CWMP berbahaya dan kemudian mengirimkan muatan sabun yang terlalu besar untuk memicu buffer overflow.
Ini dapat dicapai dengan mengeksploitasi kelemahan di firmware yang sudah ketinggalan zaman atau mengakses perangkat dengan menggunakan kredensial default yang belum diubah oleh pengguna.
Setelah dikompromikan melalui RCE, router dapat diinstruksikan untuk mengalihkan rute kueri DNS ke server berbahaya, secara diam -diam mencegat atau memanipulasi lalu lintas yang tidak terenkripsi, dan menyuntikkan muatan berbahaya ke dalam sesi web.
Peneliti mengkonfirmasi melalui pengujian bahwa TP-Link Archer AX10 dan Archer AX1500 menggunakan biner CWMP yang rentan. Keduanya adalah model router yang sangat populer yang saat ini tersedia untuk dijual di berbagai pasar.
Mehrun juga mencatat bahwa EX141, Archer VR400, TD-W9970, dan mungkin beberapa model router lain dari TP-Link berpotensi terpengaruh.
Sampai TP-Link menentukan perangkat mana yang rentan dan merilis perbaikan untuk mereka, pengguna harus mengubah kata sandi admin default, menonaktifkan CWMP jika tidak diperlukan, dan menerapkan pembaruan firmware terbaru untuk perangkat mereka. Jika memungkinkan, segmen router dari jaringan kritis.
CISA memperingatkan kelemahan tp-link yang dieksploitasi
Kemarin, CISA menambahkan dua kelemahan TP-Link lainnyadilacak CVE-2023-50224 dan CVE-2025-9377, ke katalog kerentanan yang diketahui yang diketahui bahwa botnet Quad7 telah dieksploitasi untuk kompromi router.
CVE-2023-50224 adalah cacat bypass otentikasi, dan CVE-2025-9377 adalah cacat injeksi perintah. Ketika dirantai bersama, mereka memungkinkan aktor ancaman untuk mendapatkan eksekusi kode jarak jauh pada perangkat TP-Link yang rentan.
Sejak 2023, Quad7 botnet telah mengeksploitasi kekurangannya Untuk menginstal malware khusus pada router yang mengubahnya menjadi proxy dan relay lalu lintas.
Aktor ancaman Cina telah menggunakan router yang dikompromikan ini untuk proxy, atau menyampaikan, serangan jahat sambil menyatu dengan lalu lintas yang sah untuk menghindari deteksi.
Pada tahun 2024, Microsoft mengamati Aktor ancaman menggunakan botnet untuk melakukan serangan semprotan kata sandi pada layanan cloud dan Microsoft 365, yang bertujuan untuk mencuri kredensial.
