Când un cercetător independent semnalează o problemă care poate pune în pericol echipamentele din locuința ta, e momentul să fii atent: este vorba despre o vulnerabilitate zero-day găsită în firmware-ul unor routere TP-Link, semnalată de cercetătorul Mehrun (ByteRay), iar subiectul a stârnit reacții la nivel global, cu investigații și avertismente emise de instituții precum CISA.
Pe scurt și grav: TP-Link a confirmat existența unei vulnerabilități pentru care nu există încă un patch universal, iar problema ține de implementarea CWMP (CPE WAN Management Protocol) pe mai multe modele de routere. Mehrun a raportat defecțiunea pe 11 mai 2024, iar după investigațiile inițiale TP-Link a anunțat că a pregătit un patch pentru modelele destinate pieței europene, în timp ce variantele pentru SUA și alte regiuni sunt în curs de adaptare. Momentan nu există informații clare despre când vor fi livrate actualizările pentru toate versiunile.
Din punct de vedere tehnic, vulnerabilitatea este un overflow pe stivă în funcția care procesează mesaje SOAP SetParameterValues; cauza este utilizarea strncpy fără verificarea limitelor, ceea ce permite suprascrierea bufferului atunci când acesta este mai mare de 3072 bytes. Mehrun a declarat că a identificat problema prin analiză automată a binarelor routerelor și a demonstrat că, dacă un dispozitiv vulnerabil este direcționat către un server CWMP malițios, un atacator poate trimite un payload SOAP supradimensionat pentru a forța execuția de cod la distanță. În practică, această schemă devine realizabilă dacă firmware-ul nu e actualizat sau dacă dispozitivul folosește în continuare credențiale implicite.
Printre modelele testate, cercetătorul a confirmat că Archer AX10 și Archer AX1500 conțin biblioteci CWMP vulnerabile; ambele sunt modele populare, încă disponibile pe piață. Alte modele menționate ca posibil afectate includ EX141, Archer VR400, TD-W9970 și probabil altele. Până când va exista o listă clară a dispozitivelor afectate și până la distribuirea patch-urilor pentru toate versiunile, recomandările practice rămân cele uzuale: schimbați parolele implicite ale contului admin, dezactivați CWMP dacă nu e necesar și instalați imediat actualizările oficiale de firmware când sunt publicate. Dacă puteți, segmentați rețeaua astfel încât routerul vulnerabil să nu se afle în aceeași zonă cu echipamentele critice.
Paralela cu incidente recente este relevantă: CISA a adăugat recent în catalogul de vulnerabilități exploatate două alte defecte TP-Link, CVE-2023-50224 și CVE-2025-9377, folosite de botnetul Quad7 pentru a compromite routere. Prima permite ocolirea autentificării, iar a doua reprezintă un injection de comenzi; combinate, permit atacatorilor execuție de cod la distanță. Din 2023, Quad7 a instalat malware personalizat pe dispozitivele compromise, transformându-le în proxy-uri și relee de trafic, tactică folosită pentru a masca atacuri și a eluda detectarea. Microsoft a observat în 2024 că același botnet a fost folosit în atacuri de tip password spray asupra serviciilor cloud și Microsoft 365 pentru a fura credențiale, un exemplu clar cum un router vulnerabil poate facilita atacuri mult mai ample.
Ce înseamnă toate acestea pentru cineva care folosește un router TP-Link acasă sau la birou? În primul rând, riscul real este că un atac reușit poate redirecționa DNS-ul către servere malițioase, poate intercepta sau modifica trafic necriptat și poate injecta payload-uri în sesiuni web, consecințe care afectează confidențialitatea și integritatea datelor. În al doilea rând, faptul că unele patch-uri sunt gata pentru Europa, dar nu pentru toate regiunile, arată complexitatea gestionării firmware-ului de către producători, care trebuie să adapteze codul pentru multiple versiuni și condiții de distribuție.
Descrierea tehnică și lista de modele afectate subliniază încă o dată importanța de a nu lăsa setările implicite și de a verifica periodic actualizările oficiale TP-Link. De asemenea, organizațiile care administrează rețele trebuie să evalueze rapid expunerea echipamentelor CWMP și să blocheze accesul neautorizat către servere de management neîncredere.
TP-Link a declarat că echipa tehnică investighează în detaliu condițiile de expunere, inclusiv dacă CWMP este activat implicit, și recomandă instalarea firmware-urilor oficiale imediat ce sunt disponibile. Până când fiecare versiune de firmware va primi corecția, rămâne responsabilitatea utilizatorilor și administratorilor să aplice măsuri preventive simple: parole puternice, dezactivarea CWMP când nu este necesar, actualizări regulate și segmentarea rețelei.
Date concrete din text: vulnerabilitatea a fost raportată pe 11 mai 2024 de Mehrun (ByteRay), patch-ul este disponibil pentru modelele europene, modelele verificate vulnerabile includ Archer AX10 și Archer AX1500, iar CISA a listat CVE-2023-50224 și CVE-2025-9377 ca exploatate de botnetul Quad7. Aceste fapte arată că o problemă software la nivel de router poate avea efecte pe scară largă, de la interceptarea traficului până la folosirea dispozitivelor compromise în atacuri coordonate asupra serviciilor cloud.
Ce model de router folosiți și când ați verificat ultima dată firmware-ul?
nu mai folosiți parole factory, serios, am avut ax10 si m-am trezit cu netul redirectat, update-urile astea întârzie mereu, verificați fw pls
păi verifica firmware-ul acum, serios…