TP-Link підтвердила існування неусуваної 0‑day уразливості у реалізації CWMP/TR‑069 — протоколу віддаленого керування клієнтськими пристроями (CPE). Компанія поінформована про проблему з 11 травня 2024 року, перевіряє можливість експлуатації та готує оновлення прошивок: за даними BleepingComputer, патчі для європейських збірок уже зібрані, для США та інших регіонів робота триває. Терміни релізу не розкриваються.
Що сталося: підтверджена 0‑day і реакція постачальника
Незалежний дослідник ByteRay виявив помилку в компонентах CWMP низки маршрутизаторів TP-Link. Вендор повідомив про триваюче розслідування та підготовку прошивок для різних ринків. Офіційний перелік моделей і CVE‑ідентифікатор наразі відсутні, проте користувачам рекомендовано вжити тимчасових заходів зниження ризиків.
Технічні деталі уразливості CWMP/TR‑069
Переповнення стека в SOAP SetParameterValues
Помилка локалізована в обробнику SOAP SetParameterValues у бінарних модулях CWMP. За оцінкою дослідника, відсутня коректна перевірка меж буфера під час викликів strncpy, що призводить до переповнення стека і потенційного виконання довільного коду на пристрої. Експлуатація можлива за рахунок надмірно великого SOAP‑повідомлення; тригер відбувається, коли корисне навантаження перевищує приблизно 3072 байти.
Для контексту: TR‑069/CWMP використовується провайдерами для централізованої конфігурації CPE через ACS‑сервер (Auto Configuration Server), зазвичай через порт 7547/TCP. Обмін здійснюється SOAP‑повідомленнями поверх HTTP/HTTPS, тож будь‑які помилки в парсингу таких запитів мають високий ризик для віддаленого керування.
Моделі, що потенційно постраждали
Вразливість підтверджена на TP-Link Archer AX10 і Archer AX1500. Додатково під підозрою — EX141, Archer VR400, TD‑W9970 та інші пристрої родини TP‑Link із подібними CWMP‑компонентами. Остаточний список моделей вендор не оприлюднив.
Як атакують TR‑069: підміна ACS і наслідки
Ймовірний ланцюжок атаки включає перенаправлення роутера на зловмисний ACS і доставку спеціально сформованого SOAP‑запиту, який переповнює буфер. Після компрометації зловмисник може:
- змінювати DNS‑налаштування і скеровувати трафік через шкідливі резолвери;
- перехоплювати та модифікувати незашифрований трафік;
- інжектувати шкідливий вміст у веб‑сесії користувачів.
Історичний прецедент: у 2016 році масові спроби експлуатації сервісів автонастроювання на порту 7547 призвели до масштабних збоїв у низці європейських провайдерів. Це підтверджує, що проблеми в ланцюжку віддаленого керування CPE можуть швидко масштабуватися й мати галузевий вплив.
Ризики для користувачів і провайдерів
Ризик підвищується, якщо CWMP увімкнено за замовчуванням і доступний із зовнішніх мереж або якщо не обмежено список довірених ACS за IP/сертифікатами. TP-Link окремо зазначає, що перевіряє умови експлуатації та вплив на пристрої, включно з дефолтним статусом служби.
Що робити до виходу патчів: практичні кроки захисту
- Перевірити статус CWMP/TR‑069; якщо сервіс не потрібен — тимчасово вимкнути.
- Заблокувати порт 7547/TCP з боку WAN або обмежити доступ лише IP‑адресою довіреного ACS.
- Контролювати налаштування DNS на роутері й клієнтах; увімкнути DoH/DoT, де можливо.
- Оперативно встановлювати оновлення прошивки і активувати автооновлення, якщо підтримується.
- Змінити стандартні адміністративні паролі і вимкнути віддалене керування з інтернету, якщо воно не потрібне.
Користувачам і IT‑відділам варто відстежувати бюлетені безпеки TP-Link, підписатися на розсилки та якнайшвидше застосувати оновлення для моделей у периметрі мережі. Мінімізація експозиції TR‑069, сегментація доступу до порту 7547 і перевірка цілісності DNS‑налаштувань допоможуть знизити ризик до виходу офіційних патчів. Проактивна гігієна безпеки в інфраструктурі доступу завжди дешевша за інцидент: перевірте політики фільтрації трафіку, інвентаризуйте вразливі пристрої та заплануйте вікна для оновлень уже сьогодні.
