شرکت TP-Link وجود یک آسیب‌پذیری امنیتی «روز صفر» (Zero-day) را در چندین مدل از روترهای محبوب خود تأیید کرده است. آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) نیز هشدار داده است که سایر نقص‌های امنیتی شناخته‌شده در روترهای این شرکت، درحال‌حاضر به‌طور فعال توسط یک بات‌نت به نام Quad7 مورد سوءاستفاده قرار می‌گیرند.

این حفره امنیتی که هنوز شناسه CVE دریافت نکرده است، توسط یک محقق مستقل با نام مستعار Mehrun در تاریخ ۱۱ مه ۲۰۲۴ کشف و به TP-Link گزارش شد. این آسیب‌پذیری از نوع stack-based buffer overflow است و در پروتکل مدیریت از راه دور CWMP روترها وجود دارد. به زبان ساده‌تر، به دلیل عدم بررسی صحیح حجم داده‌های ورودی، مهاجم می‌تواند با ارسال یک پیام دستکاری‌شده، کدی مخرب را از راه دور بر روی روتر اجرا کند.

آسیب‌پذیری روز صفر در روترهای TP-Link

اگر هکری بخواهد از این نقص سوءاستفاده کند، می‌تواند پس از نفوذ موفق، کنترل کامل روتر را در دست بگیرد و اقداماتی مانند هدایت ترافیک DNS به سرورهای فیشینگ، شنود ترافیک رمزنگاری‌نشده و تزریق بدافزار انجام دهد.

شرکت TP-Link در بیانیه‌ای به BleepingComputer تأیید کرده که درحال بررسی این موضوع است. این شرکت یک وصله امنیتی برای مدل‌های اروپایی روترهای خود توسعه داده، همچنان درحال کار بر روی به‌روزرسانی برای نسخه‌های آمریکایی و جهانی است. مدل‌های Archer AX10 و Archer AX1500 به عنوان دستگاه‌های آسیب‌پذیر تأیید شده‌اند و احتمالاً مدل‌های دیگری مانند EX141، Archer VR400 و TD-W9970 نیز تحت تأثیر قرار گرفته‌اند.

تا زمان انتشار وصله امنیتی، به کاربران توصیه می‌شود که رمز عبور پیش‌فرض روتر خود را تغییر دهند، پروتکل CWMP را در صورت عدم نیاز غیرفعال کنند و منتظر جدیدترین به‌روزرسانی فرم‌ور باشند.

همزمان با این گزارش، CISA دو آسیب‌پذیری دیگر TP-Link با شناسه‌های CVE-2023-50224 (مربوط به دورزدن احراز هویت) و CVE-2025-9377 را به کاتالوگ آسیب‌پذیری‌های شناخته‌شده در حال بهره‌برداری (KEV) خود اضافه کرد.

گزارش‌ها حاکی از آن است که بات‌نت Quad7 از سال ۲۰۲۳ با استفاده از این دو حفره، به روترهای آسیب‌پذیر نفوذ کرده است. گروه‌های هکری چینی از این روترهای هک‌شده برای پنهان‌کردن هویت خود و انجام حملات مخرب استفاده می‌کنند.