TP-Link подтвердила наличие неисправленной 0‑day уязвимости в реализации протокола CWMP (он же TR‑069), применяемого для удаленного управления потребительскими роутерами. Проблема, о которой компания уведомлена с 11 мая 2024 года, находится на стадии изучения, а исправления уже готовятся для ряда регионов.
Что произошло: подтвержденная 0‑day и реакция вендора
Независимый исследователь ByteRay выявил уязвимость в компонентах CWMP нескольких маршрутизаторов TP-Link. Компания сообщила изданию BleepingComputer, что расследует возможность эксплуатации и готовит обновления прошивок: патчи для европейских моделей уже собраны, для США и других регионов работа продолжается. Сроки релиза не названы.
Технические детали: переполнение буфера в обработке SOAP
Сбой локализован в обработчике сообщений SOAP SetParameterValues в двоичных файлах CWMP. Исследователь указывает на отсутствие корректной проверки границ при вызовах strncpy, что приводит к переполнению стека и может позволить выполнить произвольный код на устройстве. По данным автора, уязвимость срабатывает при формировании чрезмерно большой полезной нагрузки, когда размер буфера стека превышает 3072 байта.
Затронутые модели и масштаб воздействия
В ходе тестов подтверждена уязвимость в CWMP-компонентах TP-Link Archer AX10 и Archer AX1500. Кроме того, проблема может проявляться на EX141, Archer VR400, TD‑W9970 и потенциально на других моделях семейства TP-Link. Точный перечень и CVE‑идентификатор пока не опубликованы.
Сценарии атак: от подмены ACS до компрометации DNS
Возможная цепочка атаки описана как перенаправление устройства на злонамеренный сервер CWMP/ACS с последующей доставкой увеличенного SOAP‑сообщения для переполнения буфера. После взлома злоумышленник может:
- менять DNS‑настройки роутера и перенаправлять трафик на вредоносные резолверы;
- перехватывать и модифицировать незашифрованный трафик;
- встраивать вредоносные данные в веб‑сессии пользователей.
Исторически злоупотребления TR‑069/CWMP уже приводили к крупным инцидентам. Например, в 2016 году массовые попытки эксплуатации сервисов автонастройки на порту 7547 стали причиной сбоев у провайдеров в Европе. Это подчеркивает, что уязвимости в цепочке удаленного управления CPE‑устройствами способны быстро масштабироваться.
Риски для пользователей и провайдеров
Опасность усугубляется тем, что CWMP в некоторых конфигурациях может быть включен по умолчанию для взаимодействия с ACS провайдера. TP-Link заявила, что проверяет условия эксплуатации, включая дефолтный статус сервиса. Если CWMP доступен с внешней сети и не ограничен списками доверенных ACS, риск компрометации значительно выше.
Как снизить риск до выхода патча
До появления обновлений прошивки имеет смысл применить стандартные меры снижения поверхности атаки:
- проверить статус CWMP/TR‑069; при отсутствии потребности — временно отключить сервис;
- заблокировать доступ к порту 7547/TCP с WAN или ограничить его по IP доверенного ACS;
- регулярно проверять конфигурацию DNS на роутере и устройствах, включить DoH/DoT там, где это возможно;
- установить последние версии прошивок и включить автообновления, если поддерживаются;
- изменить стандартные пароли администратора и отключить удаленное управление из интернета, если оно не требуется.
Позиция TP-Link: статус исправлений
TP-Link подтвердила, что патчи для европейских сборок подготовлены, а выпуск обновлений для США и других регионов находится в разработке. Компания отдельно отмечает проверку «критериев воздействия на устройства и условий эксплуатации, включая то, включен ли CWMP по умолчанию».
Пока официальный список моделей и сроки выхода прошивок не опубликованы, пользователям и IT‑подразделениям стоит проактивно ограничить доступ к CWMP и следить за бюллетенями TP-Link. Подписка на рассылки безопасности вендора и своевременная установка обновлений остаются ключевыми факторами минимизации риска, особенно для маршрутизаторов на периметре сети.
