TP-Link ได้ยืนยันการค้นพบช่องโหว่ Zero-Day ที่ยังไม่ได้รับการแก้ไข ซึ่งส่งผลกระทบต่อเราเตอร์หลายรุ่น ในขณะเดียวกัน CISA ยังได้ออกคำเตือนเกี่ยวกับการโจมตีโดยใช้ช่องโหว่อื่น ๆ
ช่องโหว่ Zero-Day ที่ส่งผลกระทบต่อเราเตอร์ TP-Link บางรุ่นได้ถูกเปิดเผยโดย Mehrun (ByteRay) นักวิจัยอิสระด้านภัยคุกคามทางไซเบอร์ ซึ่งได้แจ้งเรื่องนี้ให้ TP-Link ทราบตั้งแต่วันที่ 11 พฤษภาคม 2024
ทาง TP-Link ได้ออกมายืนยันว่ารับทราบถึงช่องโหว่ดังกล่าว และกำลังดำเนินการตรวจสอบขอบเขตผลกระทบอย่างจริงจัง พร้อมทั้งได้พัฒนาแพตช์สำหรับเราเตอร์ที่จำหน่ายในยุโรปเรียบร้อยแล้ว
อย่างไรก็ตาม การแก้ไขสำหรับเฟิร์มแวร์เวอร์ชันที่ใช้ในสหรัฐอเมริกา และตลาดทั่วโลกยังอยู่ระหว่างการดำเนินการ โดยทีมงานกำลังเร่งปรับแต่ง และเตรียมปล่อยอัปเดตอย่างเร่งด่วน แต่ยังไม่มีการกำหนดวันปล่อยแพตช์อย่างเป็นทางการ
ทีมเทคนิคของบริษัทกำลังตรวจสอบรายละเอียดของช่องโหว่ที่ถูกรายงานอย่างรอบคอบ เพื่อยืนยันเงื่อนไขที่อุปกรณ์จะได้รับผลกระทบ รวมถึงการตรวจสอบเกี่ยวกับโปรโตคอล CWMP ว่าถูกเปิดใช้งานโดยค่าเริ่มต้นหรือไม่
TP-Link แนะนำผู้ใช้งานทุกคนให้อัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุดอยู่เสมอ โดยสามารถตรวจสอบ และติดตั้งผ่านช่องทางสนับสนุนอย่างเป็นทางการของบริษัท
ช่องโหว่นี้เป็นช่องโหว่ stack-based buffer overflow ซึ่งยังไม่มีหมายเลข CVE-ID กำหนดอย่างเป็นทางการ โดยเกิดขึ้นในส่วนของการทำงาน CWMP (CPE WAN Management Protocol) ของ TP-Link และส่งผลกระทบต่อเราเตอร์จำนวนหนึ่งที่ยังไม่สามารถระบุได้แน่ชัด
Mehrun นักวิจัยได้ค้นพบช่องโหว่นี้จากการวิเคราะห์ไบนารีของเราเตอร์ด้วยวิธี automated taint analysis โดยระบุว่าช่องโหว่ดังกล่าวอยู่ในฟังก์ชันที่ใช้จัดการ SOAP SetParameterValues messages
ช่องโหว่นี้เกิดจากการขาดการตรวจสอบ bounds checking ในการเรียกใช้ฟังก์ชัน ‘strncpy’ ทำให้เกิด buffer overflow บน stack เมื่อขนาดบัฟเฟอร์เกิน 3,072 ไบต์ ซึ่งอาจนำไปสู่การรันโค้ดที่เป็นอันตรายจากระยะไกลได้
Mehrun อธิบายว่าการโจมตีที่เป็นไปได้จริงคือการหลอกให้อุปกรณ์ที่มีช่องโหว่เชื่อมต่อกับเซิร์ฟเวอร์ CWMP ที่เป็นอันตราย แล้วส่งข้อมูล SOAP ที่มีขนาดเกินไปเข้าไปเพื่อทำให้เกิด buffer overflow
การโจมตีนี้สามารถทำได้โดยใช้ช่องโหว่ในเฟิร์มแวร์เวอร์ชันเก่า หรือเข้าถึงอุปกรณ์ผ่าน credentials เริ่มต้นที่ผู้ใช้ยังไม่ได้เปลี่ยนแปลง
เมื่อเกิดการโจมตีผ่านช่องโหว่ RCE (Remote Code Execution) สำเร็จ เราเตอร์สามารถถูกสั่งให้เปลี่ยนเส้นทาง DNS request ไปยังเซิร์ฟเวอร์ที่เป็นอันตราย ดักจับ หรือแก้ไขข้อมูลที่ไม่ได้เข้ารหัสได้อย่างเงียบ ๆ รวมถึงแทรกโค้ดอันตรายลงในเซสชันเว็บต่าง ๆ
นักวิจัยได้ทดสอบ และยืนยันว่า TP-Link Archer AX10 และ Archer AX1500 ใช้ไบนารี CWMP ที่มีช่องโหว่ดังกล่าว ซึ่งเป็นเราเตอร์รุ่นยอดนิยมที่ยังคงจำหน่ายอยู่ในหลายตลาดทั่วโลก
Mehrun ยังระบุว่า เราเตอร์รุ่น EX141, Archer VR400, TD-W9970 รวมถึงเราเตอร์ TP-Link รุ่นอื่น ๆ บางรุ่น อาจได้รับผลกระทบจากช่องโหว่นี้ด้วย
จนกว่า TP-Link จะออกแพตช์แก้ไข และระบุรุ่นที่ได้รับผลกระทบ ผู้ใช้ควรรีบเปลี่ยนรหัสผ่านผู้ดูแลระบบเริ่มต้น ปิดใช้งาน CWMP หากไม่มีความจำเป็น และอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุด นอกจากนี้ เพื่อความปลอดภัยที่เพิ่มขึ้น ควรพิจารณาแยกเครือข่ายเราเตอร์ออกจากเครือข่ายที่สำคัญ
CISA warns of exploited TP-Link flaws
เมื่อวันที่ 3 กันยายน 2025 ที่ผ่านมา CISA ได้เพิ่มช่องโหว่อีกสองรายการของ TP-Link ซึ่งมีหมายเลข CVE-2023-50224 และ CVE-2025-9377 ลงในบัญชี Known Exploited Vulnerability ซึ่งเป็นช่องโหว่ที่บ็อตเน็ต Quad7 ใช้ในการโจมตีเราเตอร์
ช่องโหว่ CVE-2023-50224 และ CVE-2025-9377 เมื่อถูกใช้ร่วมกัน จะทำให้ผู้โจมตีสามารถ Bypass การยืนยันตัวตน และโจมตีแบบ command injection ได้ ส่งผลให้สามารถรันโค้ดที่เป็นอันตรายจากระยะไกลบนอุปกรณ์ TP-Link ได้
ตั้งแต่ปี 2023 บ็อตเน็ต Quad7 ได้ใช้ช่องโหว่เหล่านี้ในการติดตั้งมัลแวร์บนเราเตอร์ เพื่อเปลี่ยนให้เราเตอร์กลายเป็น proxies และ traffic relays
กลุ่มผู้โจมตีจากจีนได้นำเราเตอร์ที่ถูกเจาะระบบมาใช้เป็น proxies หรือเป็นตัวกลางในการส่งผ่านการโจมตีที่เป็นอันตราย โดยซ่อนตัวอยู่ในทราฟฟิกปกติเพื่อหลีกเลี่ยงการถูกตรวจจับ
ในปี 2024 ไมโครซอฟท์ได้สังเกตว่ากลุ่มผู้โจมตีใช้บ็อตเน็ตนี้ในการทำ password spray กับบริการคลาวด์ และ Microsoft 365 เพื่อขโมยข้อมูล credentials
ที่มา: bleepingcomputer
You must be logged in to post a comment.