سازمان امنیت سایبری و زیرساختهای آمریکا (CISA) روز چهارشنبه دو آسیبپذیری TP-Link(روترهای بیسیم) را به فهرست آسیبپذیریهای شناخته شده و در حال بهرهبرداری (KEV) خود اضافه کرد. این سازمان تأکید کرده که شواهدی از سوءاستفاده فعال از این آسیبپذیریها در فضای واقعی وجود دارد.
آسیبپذیریهای شناساییشده:
CVE-2023-50224 (امتیاز CVSS: 6.5)
آسیبپذیری دور زدن احراز هویت با Spoofing در سرویسhttpdروتر TP-Link TL-WR841N که به طور پیشفرض روی پورت TCP ۸۰ فعال است. این مشکل میتواند منجر به افشای اطلاعات کاربری ذخیرهشده در مسیر “/tmp/dropbear/dropbearpwd” شود.CVE-2025-9377 (امتیاز CVSS: 8.6)
آسیبپذیری تزریق فرمان سیستمعامل در مدلهای TP-Link Archer C7(EU) V2 و TL-WR841N/ND(MS) V9 که امکان اجرای کد از راه دور (RCE) را فراهم میکند.
وضعیت پایان عمر تجهیزات و بهروزرسانیها
طبق اطلاعات موجود در وبسایت TP-Link، مدلهای زیر به پایان عمر (EoL) رسیدهاند:
TL-WR841N (نسخههای ۱۰.۰ و ۱۱.۰)
TL-WR841ND (نسخه ۱۰.۰)
Archer C7 (نسخههای ۲.۰ و ۳.۰)
با این حال، TP-Link بهروزرسانیهای فرمویر برای رفع این دو آسیبپذیری را از نوامبر ۲۰۲۴ منتشر کرده است، به دلیل فعالیتهای سوءاستفاده مخرب.
شرکت اعلام کرده:
“محصولات تحت تأثیر به پایان دوره پشتیبانی خود رسیدهاند و دیگر بهروزرسانی امنیتی دریافت نمیکنند. برای حفاظت بهتر، توصیه میکنیم کاربران به سختافزار جدیدتر ارتقا دهند تا امنیت و عملکرد بهینه تضمین شود.”
فعالیتهای سوءاستفاده و تهدیدات مرتبط با آسیب پذیری TP-Link
اگرچه گزارشی عمومی از بهرهبرداری مستقیم از این آسیبپذیریها منتشر نشده، اما TP-Link در مشاوره امنیتی هفته گذشته، فعالیتهای واقعی در فضای اینترنت را به یک باتنت به نام Quad7 (یا CovertNetwork-1658) مرتبط دانست که توسط یک عامل تهدید مرتبط با چین با نام رمز Storm-0940 برای انجام حملات Password Spray با تکنیکهای فرار پیشرفته استفاده میشود.
با توجه به بهرهبرداری فعال، سازمانهای دولتی فدرال (FCEB) تشویق شدهاند تا تا ۲۴ سپتامبر ۲۰۲۵ اقدامات لازم برای محافظت از شبکههای خود را اعمال کنند.
این خبر تنها یک روز پس از آن منتشر شد که CISA یک آسیبپذیری جدی دیگر در TP-Link TL-WA855RE Wi-Fi Ranger Extender (CVE-2020-24363, امتیاز CVSS: 8.8) را به فهرست KEV اضافه کرد و شواهدی از بهرهبرداری فعال ارائه شد.
