Zero-day in TP-Link routers ontdekt

In dit artikel:

Onderzoekers hebben een zero-day in de CWMP (TR-069)-implementatie van TP-Link-routers ontdekt die duizenden apparaten wereldwijd blootstelt aan overname. De kwetsbaarheid werd in januari 2025 gevonden met geautomatiseerde taint‑analyse en op 11 mei aan TP‑Link gemeld; er zijn nog geen patches beschikbaar.

Het lek zit in de functie die SetParameterValues SOAP‑berichten verwerkt: invoer uit externe berichten wordt gebruikt om een bufferlengte te berekenen en zonder grenscontrole doorgegeven aan een strncpy-operatie naar een stackbuffer van 3072 bytes. Met grotere payloads (testen lieten crashes zien bij 4096 bytes en precies 3112 bytes nodig om het besturingsregister te overschrijven) kon de program counter worden gemanipuleerd, wat remoteschaalbare root‑code‑uitvoering mogelijk maakt. De proof‑of‑concept gebruikte een GenieACS‑server om gemanipuleerde SOAP‑berichten te sturen en toonde volledige controle aan.

Omdat TP‑Link identieke binaire bestanden hergebruikt, beperken de problemen zich niet tot twee modellen (bijv. Archer AX10, AX1500); via Fofa werden meer dan 4.200 publiek toegankelijke kwetsbare apparaten gevonden. De aanvalsvector is praktisch: zwakke of standaardwachtwoorden en gebrekkige certificaatvalidatie maken het eenvoudig om het CWMP‑serveradres naar een malafide ACS te laten wijzen en zo exploits te leveren.

Totdat TP‑Link patches uitbrengt wordt gebruikersadvies dringend: stel sterke wachtwoorden in, schakel TR‑069 uit indien mogelijk en houd netwerkverkeer nauwlettend in de gaten.