تم اكتشاف ثغرة خطيرة من نوع “يوم الصفر” في تنفيذ بروتوكول CWMP في أجهزة توجيه TP-Link، مما يشكل خطرًا أمنيًا كبيرًا على آلاف المستخدمين حول العالم. تم اكتشاف هذه الثغرة في يناير 2025 من خلال تحليل الأثر التلقائي، وتم الإبلاغ عنها إلى شركة TP-Link في 11 مايو، لكنها لا تزال دون إصلاح، مما يترك المستخدمين عرضة للخطر.
بروتوكول CWMP، المعروف أيضًا بـ TR-069، هو بروتوكول يتيح لمزودي الخدمة إدارة أجهزة التوجيه عن بُعد. وتعقيده ومستويات الامتياز العالية التي يوفرها يجعله هدفًا مغريًا للمهاجمين. وقد حدد الباحثون تجاوزًا للذاكرة القائمة على المكدس في الوظيفة التي تعالج رسائل SOAP الخاصة بـ SetParameterValues، مما يؤثر على نماذج شائعة مثل Archer AX10 وAX1500.
تنبع المشكلة من استخدام مدخلات الرسائل الخارجية لحساب طول الذاكرة المؤقتة، والتي يتم تمريرها بعد ذلك لعملية strncpy دون فحص الحدود، على الرغم من أن الذاكرة المؤقتة للمكدس تبلغ فقط 3072 بايت. ومع وجود حمولة تبلغ 4096 بايت، يؤدي الاستغلال إلى تعطل الخدمة ويسمح بالكتابة فوق عداد البرنامج، مما قد يؤدي إلى اختراق كامل للنظام مع الوصول إلى الجذر.
أظهر اختبار بنموذج إثبات المفهوم أن حمولة مصممة خصيصًا يمكنها التحكم بالكامل في عداد البرنامج، مما يؤكد سيناريو تنفيذ التعليمات البرمجية عن بُعد. ولا تقتصر الثغرة على النموذجين فقط، حيث إن TP-Link غالبًا ما تعيد استخدام نفس الملفات التنفيذية عبر الأجهزة. وقد حدد محرك البحث Fofa أكثر من 4200 جهاز عرضة للخطر متاح على الإنترنت، مما يبرز التهديد الحقيقي والفوري.
يزيد سهولة تنفيذ الهجوم من خطورته. لا يزال العديد من أجهزة التوجيه تستخدم كلمات مرور افتراضية أو تتمتع بإعدادات أمان ضعيفة. وبمجرد أن يحصل المهاجمون على الوصول، يمكنهم تغيير عنوان خادم CWMP إلى خادم ACS ضار، مما يمكنهم من تنفيذ استغلالات للاستيلاء الكامل على الجهاز. وتزيد بساطة إعداد مثل هذا الخادم وضعف التحقق من الشهادات من احتمالية الاستغلال النشط.
وعلى الرغم من الإبلاغ عن الثغرة في مايو، إلا أنها لا تزال دون حل، مما يحث المستخدمين على اتخاذ احتياطات فورية. وحتى تصبح التحديثات متاحة، يُنصح المستخدمون بتعيين كلمات مرور قوية، وتعطيل TR-069 إن أمكن، ومراقبة نشاط الشبكة عن كثب لتقليل المخاطر.
