Iskorištavanje ranjivosti TP-Link

1. Sažetak
‍
Američka agencija za kibernetičku sigurnost (CISA) je dodala dvije kritične ranjivosti TP-Link bežičnih rutera u svoj Known Exploited Vulnerabilities (KEV) katalog zbog dokazane aktivne eksploatacije. Riječ je o CVE-2023-50224, ranjivosti u autentikacijskom sustavu httpd servisa, i CVE-2025-9377, propustu za injekciju komandne linije koji može dovesti do izvršavanja proizvoljnog koda. Za oba propusta dostupne su zakrpe od studenog 2024., no uređaji su formalno označeni kao "end-of-service" (EoS), bez nastavka redovite podrške. CISA je federalnim agencijama naredila hitnu sanaciju do 24. rujna 2025.

2. Detalji
‍
Ranjivosti koje su dodane u CISA KEV katalog pogađaju starije modele TP-Link rutera, uključujući TL-WR841N, TL-WR841ND i Archer C7. Radi se o uređajima koji se i dalje široko koriste u kućnim i manjim poslovnim okruženjima, unatoč tome što su službeno označeni kao End of Service i ne dobivaju redovitu podršku proizvođača. Upravo to ih čini pogodnom metom jer su često nezaštićeni i izloženi internetu bez dodatnih slojeva obrane.

Prva ranjivost, CVE-2023-50224, odnosi se na httpd servis koji se koristi za administraciju rutera. Greška u validaciji omogućuje napadaču da zaobiđe autentikaciju i pristupi osjetljivim datotekama u direktoriju /tmp/, uključujući lozinke za Dropbear SSH. Time se stječe puni administratorski pristup bez potrebe za legitimnim korisničkim podacima. Jednom kada napadač dođe do tih podataka, može preuzeti kontrolu nad cijelim uređajem, promijeniti konfiguracije ili instalirati zlonamjerni firmware.

Druga ranjivost, CVE-2025-9377, još je ozbiljnija jer omogućuje tzv. command injection napad. Putem posebno oblikovanog HTTP zahtjeva napadač može ubrizgati sistemske naredbe koje će se izvršiti s privilegijama operacijskog sustava rutera. To mu omogućuje daljinsko pokretanje koda, instalaciju trajnih backdoora, dodavanje uređaja u botnete ili preusmjeravanje prometa korisnika prema zlonamjernim poslužiteljima. Napad se može provesti bez fizičkog pristupa ruteru, što ga čini pogodnim za masovne automatizirane kampanje.

Eksploatacija ovih ranjivosti već je zabilježena. Istraživači su identificirali botnet aktivnosti koje ciljaju upravo starije TP-Link modele kako bi ih uključili u mreže za DDoS napade ili kako bi ih koristili za daljnje kompromitacije korisničkih mreža. CISA je zbog toga izdvojila ove ranjivosti kao prioritetne i dala federalnim agencijama rok do 24. rujna 2025. za potpunu sanaciju. Za privatne korisnike i tvrtke preporuka je ista: hitna instalacija dostupnih zakrpa ili zamjena zastarjelih uređaja modernijim modelima s aktivnom podrškom i sigurnosnim nadogradnjama.

3. Preporuke
‍
Za zaštitu od ove vrste napada preporučuje se:

• Odmah primijeniti dostupne zakrpe nudene putem TP-Link tehničke podrške za pogođene modele.
• Zaustaviti upotrebu pogođenih modela TL-WR841N (10.0/11.0), TL-WR841ND (10.0), Archer C7 (2.0/3.0) te modernizirati/koristiti novi model s podrškom i automatskim ažuriranjem.
• Onemogućiti udaljeni pristup ruteru (port 80, daljinsko upravljanje) gdje je moguće; ograničiti pristup samo na lokalnu mrežu.
• Redovito mjenjati lozinke i koristiti kompleksne admin lozinke.
• Nadzor mreže: implementirati IDS/IPS, pratiti sumnjive HTTP GET zahtjeve ili neočekivane aktivnosti na ruteru.

4. Reference
‍
• https://nvd.nist.gov/vuln/detail/cve-2023-50224
• https://nvd.nist.gov/vuln/detail/CVE-2025-9377
• https://securityaffairs.com/179086/security/u-s-cisa-adds-apple-products-and-tp-link-routers-flaws-to-its-known-exploited-vulnerabilities-catalog.html

‍