A TP-Link confirmou, recentemente, a existência de uma vulnerabilidade ainda sem correção (zero-day) em diversos modelos de roteadores vendidos no marcado — o aviso vem em meio a alertas da CISA (Agência de Cibersegurança e Infraestrutura da Segurança dos EUA) sobre outras falhas nos equipamentos sendo aproveitadas por hackers.
- Especialistas descobrem mais de 500 vulnerabilidades em roteadores desde 2020
- Como escolher um bom roteador
A vulnerabilidade foi descoberta pelo pesquisador em segurança independente Mehrun (da ByteRay), que apontou já ter reportado a questão em maio de 2024, há mais de um ano. A companhia chinesa afirmou já ter desenvolvido um patch de correção para os modelos europeus, mas ainda está trabalhando em versões do firmware para proteger modelos do restante do mundo.
Detalhes da vulnerabilidade TP-Link
O problema em questão é baseado na sobrecarga de buffer do CWMP (Protocolo de Gerenciamento CPE WAN) da TP-Link, atingindo um número ainda não calculado de roteadores TP-Link. Segundo Mehrun, responsável por achar a falha, o erro está especificamente na função que lida com mensagens SetParameterValues de SOAP.
–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
Aparentemente, não há limites na checagem de pedidos “strncpy”, o que permite a execução remota de códigos através da sobrecarga de buffer, quando o acúmulo de tamanho de buffers passa de 3072 bytes. Mehrun afirmou que um ataque realista miraria em roteadores vulneráveis através de um servidor CWMP malicioso, entregando uma carga SOAP grande demais, causando a sobrecarga de buffer.
Em suma, o ataque explora falhas em firmwares desatualizados ou acessando o dispositivo usando credenciais padrão, não modificadas pelos usuários. Uma vez comprometido, o roteador pode ser usado para reencaminhar queries de DNS para servidores maliciosos, manipular tráfego não criptografado e levar malwares a sessões web.
Mahrun confirmou a falha nos roteadores TP-Link Archer AX10 e Archer AX1500. Modelos como EX141, Archer VR400, TD-W9970 e outros ainda podem estar comprometidos.
Até que a TP-Link confirme ter lidado com o problema, recomenda-se aos usuários que mudem as senhas de administrador que vêm por padrão no roteador, desabilitem o CWMP caso não necessitem dele e atualizem o equipamento para o último firmware disponível.
Se possível, vale segmentar o roteador de suas redes mais críticas. Desde 2023, botnets como a Quad7 têm explorado falhas em roteadores para levar malwares a usuários, com ataques em 2024 buscando roubar credenciais Microsoft 365, por exemplo.
Veja também:
- Falha em roteador da TP-Link deixou usuários vulneráveis a ataques
- O que é mais importante na hora de configurar a segurança da rede doméstica?
- Vulnerabilidade crítica atinge 29 modelos de roteadores empresariais
VÍDEO | Mesh ou Repetidor: qual é o melhor? (tem um melhor?)
Leia a matéria no Canaltech.
