A TP-Link confirmou a existência de uma vulnerabilidade "zero-day" ainda sem correção que afeta vários modelos dos seus routers, deixando potencialmente milhões de utilizadores em risco. Como se não bastasse, a Agência de Cibersegurança e Segurança de Infraestruturas dos EUA (CISA) emitiu um aviso sobre outras duas falhas da marca que já estão a ser ativamente exploradas.
A nova vulnerabilidade foi descoberta pelo investigador de segurança independente Mehrun (ByteRay), que a reportou à TP-Link a 11 de maio de 2024.
O que é esta nova vulnerabilidade?
A falha, que ainda não tem um identificador CVE atribuído, é um erro de "buffer overflow" na memória do router. Este problema reside na implementação do Protocolo de Gestão Remota de Equipamentos (CWMP), uma funcionalidade que permite aos fornecedores de internet gerir os equipamentos à distância.
Na prática, um atacante pode enviar uma mensagem manipulada para o router, sobrecarregando a sua memória e conseguindo executar código remotamente (RCE). Isto dá-lhe controlo total sobre o dispositivo, permitindo-lhe redirecionar o tráfego da internet para servidores maliciosos, intercetar dados não encriptados e injetar malware nas sessões de navegação.
O investigador confirmou que os populares modelos Archer AX10 e Archer AX1500 estão vulneráveis. Outros routers como o EX141, Archer VR400 e TD-W9970 também estão potencialmente em risco.
TP-Link já reagiu, mas o perigo continua
A TP-Link confirmou estar a investigar a situação. A empresa afirmou já ter desenvolvido uma correção para os modelos europeus, mas ainda está a trabalhar nas atualizações de firmware para as versões dos EUA e do resto do mundo, sem adiantar uma data concreta.
Enquanto as correções não chegam a todos, a vulnerabilidade permanece um risco ativo. A empresa incentiva os utilizadores a manterem os seus dispositivos atualizados com o firmware mais recente através dos canais de suporte oficiais.
CISA alerta para outras falhas já exploradas
Para agravar a situação, a CISA adicionou outras duas falhas da TP-Link ao seu catálogo de vulnerabilidades conhecidas e exploradas. As falhas, identificadas como CVE-2023-50224 e CVE-2025-9377, estão a ser usadas pela botnet Quad7 para comprometer routers.
Quando combinadas, estas duas vulnerabilidades permitem que os atacantes contornem a autenticação e injetem comandos, ganhando também controlo total sobre os equipamentos. A botnet Quad7 tem sido utilizada por grupos de hackers chineses para transformar os routers em "proxies", que servem para retransmitir e camuflar ciberataques, como ataques de "password spray" a serviços na nuvem e ao Microsoft 365.
Como pode proteger o seu router TP-Link
Até que a TP-Link disponibilize as atualizações de segurança para todos os modelos afetados, os utilizadores devem tomar medidas proativas para se protegerem. Recomenda-se o seguinte:
Altere a palavra-passe de administrador do seu router. Nunca utilize as credenciais padrão que vêm de fábrica.
Desative o protocolo CWMP nas definições do router, caso não seja uma funcionalidade essencial para o seu serviço de internet.
Verifique regularmente se existem novas atualizações de firmware para o seu modelo no site oficial da TP-Link e instale-as assim que estiverem disponíveis.
Se possível, para utilizadores mais avançados, segmente o router de redes críticas para limitar o impacto de um possível ataque.
Nenhum comentário
Seja o primeiro!