Новая уязвимость «нулевого дня» в роутерах TP-Link. CISA также предупреждает об активной эксплуатации других ошибок

Компания TP-Link подтвердила существование не исправленной уязвимости «нулевого дня» (zero-day), затрагивающей несколько моделей роутеров. Одновременно агентство CISA предупредило о том, что другие уязвимости в устройствах TP-Link уже активно эксплуатируются злоумышленниками.

Уязвимость «нулевого дня» была обнаружена независимым исследователем угроз Mehrun (ByteRay), который сообщил, что впервые уведомил TP-Link об ошибке 11 мая 2024 года.

Представители китайского производителя сетевого оборудования подтвердили изданию BleepingComputer, что ведут расследование, чтобы оценить масштабы проблемы и возможность эксплуатации уязвимости.

«TP-Link осведомлена о недавно раскрытой уязвимости, затрагивающей отдельные модели роутеров, как сообщил ByteRay. Мы относимся к этой информации серьёзно и уже выпустили патч для европейских моделей. Ведётся работа над обновлениями для США и других регионов», — говорится в заявлении TP-Link Systems Inc.

Компания добавила, что её специалисты изучают условия эксплуатации уязвимости, включая то, активирован ли протокол CWMP (CPE WAN Management Protocol) по умолчанию. Пользователям настоятельно рекомендуется своевременно устанавливать обновления прошивки через официальные каналы поддержки.

Детали уязвимости

Уязвимость пока не имеет CVE-ID. Речь идёт о переполнении буфера в реализации протокола CWMP в ряде роутеров TP-Link. Ошибка возникает в функции обработки SOAP-сообщений SetParameterValues, где используется небезопасный вызов strncpy без проверки границ.

В случае передачи буфера размером более 3072 байт возможна удалённая эксплуатация уязвимости с выполнением произвольного кода (RCE). Реалистичный сценарий атаки предполагает перенаправление устройства на вредоносный CWMP-сервер и доставку специально подготовленного SOAP-пакета.

Доступ к роутерам может быть получен через устаревшую прошивку или с использованием стандартных паролей, которые пользователи не сменили после первой настройки. После успешной атаки злоумышленники могут перенаправлять DNS-запросы на вредоносные серверы, перехватывать незашифрованный трафик и внедрять вредоносный код в веб-сессии.

Исследователь подтвердил уязвимость в моделях TP-Link Archer AX10 и Archer AX1500. Также под угрозой могут находиться EX141, Archer VR400, TD-W9970 и другие устройства.

До выхода официальных исправлений пользователям рекомендуется:

• сменить пароли администратора по умолчанию;
• отключить CWMP, если он не используется;
• установить последнюю доступную версию прошивки;
• по возможности сегментировать роутер от критически важных сетей.

CISA предупреждает об активной эксплуатации уязвимостей TP-Link

Параллельно CISA добавила в каталог активно эксплуатируемых уязвимостей (Known Exploited Vulnerability) ещё две проблемы в роутерах TP-Link: CVE-2023-50224 (обход аутентификации) и CVE-2025-9377 (внедрение команд). Совместная эксплуатация этих уязвимостей позволяет получить удалённое выполнение кода на устройствах.

С 2023 года ботнет Quad7 использует данные уязвимости для установки вредоносного ПО на роутеры, превращая их в прокси и ретрансляторы трафика. Это помогает атакующим маскировать свои действия под легитимные запросы и уходить от обнаружения.

По данным Microsoft, в 2024 году злоумышленники использовали заражённые устройства для проведения атак Password Spray на облачные сервисы и Microsoft 365 с целью кражи учётных данных.