Агентство по кибербезопасности и защите инфраструктуры США (CISA) официально внесло две уязвимости в старых моделях беспроводных маршрутизаторов TP-Link в свой каталог известных эксплуатируемых уязвимостей (KEV). Это решение основано на доказательствах того, что данные бреши активно используются злоумышленниками для проведения атак.
Первая уязвимость, идентифицированная как CVE-2023-50224, имеет оценку опасности 6.5 по шкале CVSS. Она представляет собой проблему обхода аутентификации путем спуфинга в службе
Вторая критическая уязвимость, CVE-2025-9377, с оценкой CVSS 8.0, затрагивает модели TL-WR841ND (версия 10.0) и Archer C7 (версии 2.0 и 3.0). Хотя детали ее эксплуатации не раскрываются так же подробно, ее высокий рейтинг опасности указывает на серьезный потенциальный ущерб для пользователей этих устройств.
Согласно обновленному на прошлой неделе уведомлению от TP-Link, за эксплуатацией этих уязвимостей стоит хакерская группировка Storm-0940, связанная с Китаем. Злоумышленники используют скомпрометированные устройства для создания ботнета под названием Quad7, также известного как CovertNetwork-1658.
Созданный ботнет применяется для проведения «крайне скрытных атак методом подбора паролей» (password spray attacks). Публичных отчетов, прямо подтверждающих эти атаки, пока нет, однако информация от TP-Link и последующие действия CISA подтверждают реальность угрозы.
Компания TP-Link отреагировала на обнаруженные проблемы, выпустив обновления прошивок еще в ноябре 2024 года. Однако ключевая проблема заключается в том, что все затронутые модели маршрутизаторов достигли статуса End-of-Service (EOS), что означает прекращение их официальной поддержки и выпуска обновлений безопасности.
В связи с этим производитель настоятельно рекомендует: «Клиентам следует обновиться до более нового оборудования для обеспечения оптимальной производительности и безопасности». Использование устаревших устройств, даже с последней доступной прошивкой, оставляет пользователей в зоне риска.
CISA выпустила директиву для федеральных гражданских ведомств исполнительной власти (FCEB) с требованием применить необходимые меры для защиты своих сетей от данных угроз. Крайний срок для выполнения этого предписания установлен на 24 сентября 2025 года.
Буквально на следующий день после этого CISA добавила в каталог KEV еще одну уязвимость в продуктах TP-Link — CVE-2020-24363. Эта брешь с высоким уровнем опасности (CVSS 8.8) затрагивает усилители Wi-Fi сигнала TP-Link TL-WA855RE и также была включена в список из-за подтвержденных фактов ее активной эксплуатации.
Изображение носит иллюстративный характер
Первая уязвимость, идентифицированная как CVE-2023-50224, имеет оценку опасности 6.5 по шкале CVSS. Она представляет собой проблему обхода аутентификации путем спуфинга в службе
httpd на стандартном порту TCP 80. Эксплуатация этой бреши в роутере TP-Link TL-WR841N позволяет атакующему получить доступ к сохраненным учетным данным, которые хранятся в файле /tmp/dropbear/dropbearpwd. Вторая критическая уязвимость, CVE-2025-9377, с оценкой CVSS 8.0, затрагивает модели TL-WR841ND (версия 10.0) и Archer C7 (версии 2.0 и 3.0). Хотя детали ее эксплуатации не раскрываются так же подробно, ее высокий рейтинг опасности указывает на серьезный потенциальный ущерб для пользователей этих устройств.
Согласно обновленному на прошлой неделе уведомлению от TP-Link, за эксплуатацией этих уязвимостей стоит хакерская группировка Storm-0940, связанная с Китаем. Злоумышленники используют скомпрометированные устройства для создания ботнета под названием Quad7, также известного как CovertNetwork-1658.
Созданный ботнет применяется для проведения «крайне скрытных атак методом подбора паролей» (password spray attacks). Публичных отчетов, прямо подтверждающих эти атаки, пока нет, однако информация от TP-Link и последующие действия CISA подтверждают реальность угрозы.
Компания TP-Link отреагировала на обнаруженные проблемы, выпустив обновления прошивок еще в ноябре 2024 года. Однако ключевая проблема заключается в том, что все затронутые модели маршрутизаторов достигли статуса End-of-Service (EOS), что означает прекращение их официальной поддержки и выпуска обновлений безопасности.
В связи с этим производитель настоятельно рекомендует: «Клиентам следует обновиться до более нового оборудования для обеспечения оптимальной производительности и безопасности». Использование устаревших устройств, даже с последней доступной прошивкой, оставляет пользователей в зоне риска.
CISA выпустила директиву для федеральных гражданских ведомств исполнительной власти (FCEB) с требованием применить необходимые меры для защиты своих сетей от данных угроз. Крайний срок для выполнения этого предписания установлен на 24 сентября 2025 года.
Буквально на следующий день после этого CISA добавила в каталог KEV еще одну уязвимость в продуктах TP-Link — CVE-2020-24363. Эта брешь с высоким уровнем опасности (CVSS 8.8) затрагивает усилители Wi-Fi сигнала TP-Link TL-WA855RE и также была включена в список из-за подтвержденных фактов ее активной эксплуатации.
