Как работает новая уязвимость и чем она грозит?

Китайский производитель сетевого оборудования TP-Link официально признал наличие ранее неизвестной уязвимости, которая затрагивает ряд его маршрутизаторов. Проблему обнаружил независимый исследователь безопасности, известный под псевдонимом Mehrun (ByteRay). Он быстро сообщил о ней компанию, поэтому решение уже ищут, пишет 24 Канал со ссылкой на Bleeping Computer.

Смотрите также Ни, Google не выдавал предупреждений о взломе Gmail: вот что на самом деле происходит

В TP-Link заверили, что серьезно относятся к этой находке. Компания уже подготовила и готовится запустить исправления для европейских версий прошивок, однако работа над адаптацией патчей для моделей, продаваемых в США и других странах мира, еще продолжается.

Конкретных сроков выпуска обновлений производитель пока не назвал. Техническая команда также подробно анализирует уязвимость, чтобы определить, при каких условиях возможна эксплуатация, в частности, включен ли по умолчанию протокол удаленного управления CWMP (CPE WAN Management Protocol), в котором и кроется ошибка.

Сама уязвимость, которой еще не присвоен идентификатор CVE, классифицируется как "переполнение буфера на основе стека". Простыми словами, проблема заключается в отсутствии проверки границ при обработке определённых типов сообщений, поступающих на роутер. Это позволяет злоумышленнику отправить специально сформированный пакет данных определенного размера, что приводит к сбою и дает возможность выполнить произвольный код на устройстве.

Чтобы осуществить такую атаку, хакеру нужно перенаправить уязвимый роутер на свой вредоносный сервер. Это становится возможным, если на устройстве установлена устаревшая прошивка с другими ошибками безопасности, или если пользователь не изменил стандартный пароль администратора, установленный производителем.

Успешная атака открывает широкие возможности для злоумышленников. Они могут перенаправлять DNS-запросы на фишинговые сайты, незаметно перехватывать или изменять незашифрованный трафик, а также внедрять вредоносные скрипты в вебсессии пользователя.

Какие роутеры под угрозой?

  • Исследователь подтвердил, что уязвимость присутствует в популярных моделях Archer AX10 и Archer AX1500.
  • Потенциально под угрозой также могут быть модели EX141, Archer VR400, TD-W9970 и, вероятно, ряд других.

Что с этим делать?

Пока TP-Link работает над исправлениями, пользователям рекомендуется принять меры предосторожности:

  • Изменить стандартный пароль для доступа к панели администратора.
  • Отключить протокол CWMP, если он не используется.
  • Регулярно проверять наличие и устанавливать последние обновления прошивки для своего устройства.

Другие проблемы

Ситуация осложняется тем, что это не единственная проблема с безопасностью продуктов TP-Link. Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) недавно предупредило об активной эксплуатации двух других уязвимостей в роутерах компании. Речь идет об ошибках с кодами CVE-2023-50224 (обход аутентификации) и CVE-2025-9377 (внедрение команд). Используя их в связке, хакеры могут получить полный контроль над устройствами.

По данным CISA, эти уязвимости с 2023 года использует ботнет Quad7, чтобы превращать взломанные роутеры на прокси-серверы. Через них китайские хакерские группировки осуществляют атаки, маскируя свою активность под обычный интернет-трафик. В 2024 году Microsoft зафиксировала, как этот ботнет использовали для атак на облачные сервисы и Microsoft 365 с целью похищения учетных данных.