TP-Link ได้ออกแพตช์แก้ไขช่องโหว่หลายรายการใน Router รุ่น Archer NX รวมถึงช่องโหว่ที่มีความรุนแรงระดับ Critical ที่อาจทำให้ผู้โจมตีสามารถ Bypass ขั้นตอนการยืนยันตัวตน และอัปโหลด Firmware ใหม่ได้
ช่องโหว่ด้านความปลอดภัยนี้มีหมายเลข CVE-2025-15517 ซึ่งส่งผลกระทบต่อ Wireless Router รุ่น Archer NX200, NX210, NX500 และ NX600 โดยมีสาเหตุมาจากช่องโหว่ missing authentication ที่ผู้โจมตีสามารถใช้ช่องโหว่นี้โจมตีระบบได้โดยไม่จำเป็นต้องมีสิทธิ์ผู้ใช้ใด ๆ
TP-Link ได้อธิบายเมื่อช่วงต้นสัปดาห์ที่ผ่านมา ในระหว่างที่ทำการปล่อยการอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ดังกล่าว โดยระบุว่า "การขาดขั้นตอนการตรวจสอบการยืนยันตัวตนบนเซิร์ฟเวอร์ HTTP สำหรับ CGI endpoint บางจุด ส่งผลให้บุคคลที่ไม่ผ่านการยืนยันตัวตน สามารถเข้าถึงระบบในส่วนที่สงวนไว้สำหรับผู้ใช้ที่ผ่านการยืนยันตัวตนแล้วได้"
"ผู้โจมตีอาจสามารถดำเนินการผ่าน HTTP ที่ต้องใช้สิทธิ์พิเศษได้โดยไม่ต้องผ่านการยืนยันตัวตน ซึ่งรวมถึงการอัปโหลด Firmware และการจัดการการตั้งค่าต่าง ๆ"
นอกจากนี้ TP-Link ยังได้ลบ Hardcoded cryptographic key (CVE-2025-15605) ในระบบ configuration mechanism ออก ซึ่งช่องโหว่ดังกล่าวเคยทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตน สามารถถอดรหัส configuration files แก้ไขข้อมูล และเข้ารหัสกลับเข้าไปใหม่ได้
ยิ่งไปกว่านั้น บริษัทยังได้แก้ไขช่องโหว่ประเภท Command injection อีก 2 รายการ (CVE-2025-15518 และ CVE-2025-15519) ที่อาจทำให้แฮ็กเกอร์ที่มีสิทธิ์ระดับผู้ดูแลระบบสามารถรันคำสั่งใด ๆ ก็ได้ตามต้องการ
ทางบริษัทแนะนำอย่างยิ่งให้ลูกค้าดาวน์โหลด และติดตั้ง Firmware เวอร์ชันล่าสุด เพื่อป้องกันการโจมตีที่อาจเกิดขึ้นจากการใช้ประโยชน์จากช่องโหว่เหล่านี้
TP-Link ระบุเพิ่มเติมว่า "หากผู้ใช้งานไม่ปฏิบัติตามคำแนะนำทั้งหมด ช่องโหว่ดังกล่าวก็จะยังคงอยู่ และทาง TP-Link จะไม่ขอรับผิดชอบต่อความเสียหายใด ๆ ก็ตามที่อาจเกิดขึ้น ซึ่งจริง ๆ แล้วสามารถป้องกันได้เพียงแค่ทำตามคำแนะนำในประกาศฉบับนี้"
เมื่อเดือนกันยายนที่ผ่านมา TP-Link จำเป็นต้องเร่งออกแพตช์เพื่อแก้ไขช่องโหว่ Zero-day ที่ส่งผลกระทบต่อ Router หลายรุ่น หลังจากที่ไม่ได้ออกแพตช์แก้ไขตามรายงานที่ได้รับมาตั้งแต่เดือนพฤษภาคม 2024 โดยช่องโหว่ด้านความปลอดภัยที่ถูกปล่อยทิ้งไว้นี้ อาจทำให้ผู้โจมตีสามารถดักจับ หรือปรับเปลี่ยน Traffic ที่ไม่ได้เข้ารหัส เปลี่ยนเส้นทาง DNS request ไปยังเซิร์ฟเวอร์ที่เป็นอันตราย และแทรกชุดคำสั่งที่เป็นอันตรายเข้าไปใน Web sessions ได้
นอกจากนี้ CISA ยังได้เพิ่มช่องโหว่ของ TP-Link อีก 2 รายการ (CVE-2023-50224 และ CVE-2025-9377) ลงในฐานข้อมูลช่องโหว่ที่กำลังถูกนำไปใช้ในการโจมตีจริง (KEV) เมื่อเดือนกันยายน ซึ่ง Botnet ที่ชื่อ Quad7 ได้ใช้ประโยชน์จากช่องโหว่เหล่านี้ในการโจมตีเข้าควบคุม Router ที่มีความเสี่ยง
โดยรวมแล้ว หน่วยงานด้านความปลอดภัยทางไซเบอร์ของสหรัฐฯ ได้ขึ้นทะเบียนช่องโหว่ของ TP-Link จำนวน 6 รายการว่ากำลังถูกนำไปใช้ในการโจมตีจริง โดยช่องโหว่ที่เก่าที่สุดคือช่องโหว่ประเภท Directory Traversal (CVE-2015-3035) ที่ส่งผลกระทบต่ออุปกรณ์ Archer หลายรุ่น
เมื่อเดือนกุมภาพันธ์ที่ผ่านมา Paxton อัยการสูงสุดแห่งรัฐเทกซัส ได้ยื่นฟ้องบริษัท TP-Link Systems โดยกล่าวหาว่าบริษัทมีพฤติกรรมหลอกลวงในการโฆษณาว่า Router ของตนนั้นมีความปลอดภัย ทั้งที่ปล่อยให้กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีนเข้ามาใช้การโจมตีจากช่องโหว่ของ Firmware เพื่อเจาะเข้าถึงอุปกรณ์ของผู้ใช้ได้
ในสัปดาห์นี้ คณะกรรมการกลางกำกับดูแลกิจการสื่อสารของสหรัฐฯ (FCC) ยังได้อัปเดตรายชื่ออุปกรณ์ที่ถูกสั่งห้าม (Covered List) โดยครอบคลุมถึง Router สำหรับผู้ใช้งานทั่วไปที่ผลิตในต่างประเทศทั้งหมด ซึ่งถือเป็นการสั่งห้ามจำหน่าย Router รุ่นใหม่ ๆ ที่ผลิตนอกสหรัฐฯ เนื่องจากเป็นความเสี่ยงต่อความมั่นคงของชาติที่ไม่อาจยอมรับได้
ที่มา : bleepingcomputer
You must be logged in to post a comment.