کشف آسیب‌پذیری روز صفر با امکان اجرای کد از راه دور در روترهای محبوب TP-Link

آسیب‌پذیری روز صفر روترهای TP-Link شامل مدل‌های Archer AX10 و AX1500 می‌شود و کاربران باید رمزهای پیش‌فرض را تغییر دهند و دستگاه‌ها را به‌روز کنند.

به گزارش تک‌ناک، آسیب‌پذیری روز صفر جدیدی در روترهای TP-Link کشف شده است که می‌تواند تهدیدی جدی برای کاربران در سطح جهانی باشد. این نقص امنیتی درحالی تأیید شد که آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) در مقایسه با سوءاستفاده مهاجمان از سایر نقص‌های مشابه در محصولات این شرکت هشدار داده است.

پژوهشگر مستقل امنیت سایبری، Mehrun (ByteRay)، این آسیب‌پذیری را شناسایی کرد و ۱۱ می ۲۰۲۴ به TP-Link گزارش داد. شرکت TP-Link در گفت‌وگو با بلیپینگ کامپیوتر اعلام کرد که تحقیقات برای بررسی دامنه در معرض‌بودن دستگاه‌ها و میزان بهره‌برداری از این نقص در جریان است.

طبق اعلام این شرکت، وصله امنیتی برای برخی مدل‌های اروپایی توسعه یافته است؛ اما کاربران آمریکایی و سایر مناطق جهان همچنان منتظر به‌روزرسانی‌های رسمی هستند. در بیانیه TP-Link تأکید شده است:

این تهدید را جدی گرفته‌ایم، برای مدل‌های اروپایی وصله منتشر کرده‌ایم و در حال کار روی نسخه‌های آمریکا و جهانی هستیم. همچنین، تیم فنی در حال بررسی دقیق است تا مشخص شود کدام دستگاه‌ها تحت‌تأثیر قرار دارند.

براساس یافته‌ها، آسیب‌پذیری روز صفر روترهای TP-Link سرریز بافر مبتنی‌بر پشته در پروتکل CWMP است که می‌تواند امکان اجرای کد از راه دور (RCE) را برای مهاجمان فراهم کند. پژوهشگر کشف‌کننده توضیح داده است که با هدایت دستگاه به سرور CWMP مخرب و ارسال داده‌های SOAP غیرمجاز، امکان بهره‌برداری از این آسیب‌پذیری وجود دارد.

بلیپینگ‌کامپیوتر می‌نویسد که آزمایش‌های انجام‌شده نشان داده‌اند که دو مدل پرطرف‌دار Archer AX10 و Archer AX1500 در برابر این نقص آسیب‌پذیر هستند. همچنین، مدل‌های دیگری مانند EX141 و Archer VR400 و TD-W9970 احتمالاً در معرض خطر قرار دارند. کارشناسان توصیه می‌کنند تا زمان انتشار وصله رسمی، کاربران رمزهای عبور پیش‌فرض را تغییر دهند و در‌صورت نیاز‌نداشتن قابلیت CWMP را غیرفعال و دستگاه‌های خود را با جدیدترین نسخه فریم‌ور موجود به‌روزرسانی کنند.

درمقابل، CISA دو آسیب‌پذیری دیگر در محصولات TP-Link با شناسه‌های CVE-2023-50224 و CVE-2025-9377 را به فهرست تهدیدهای شناخته‌شده اضافه کرده است. بات‌نت Quad7 از این دو نقص امنیتی برای آلوده‌سازی روترها و تبدیل آن‌ها به ابزارهای پروکسی و رله ترافیک سوءاستفاده کرده‌اند.

گزارش‌ها نشان می‌دهد که مهاجمان چینی از این روترهای آلوده برای مخفی‌سازی حملات و دورزدن سامانه‌های تشخیص استفاده کرده‌اند. همچنین، مایکروسافت اعلام کرده است که در سال ۲۰۲۴، این بات‌نت برای اجرای حملات Password Spray علیه سرویس‌های ابری و مایکروسافت ۳۶۵ به‌ کار رفته است تا اطلاعات حساب‌های کاربری به سرقت برده شود. رخداد یادشده باردیگر اهمیت به‌روزرسانی مداوم فریم‌ور و اتخاذ اقدامات امنیتی را برجسته می‌کند.