Uma vulnerabilidade crítica em roteadores da TP-Link e que ainda está sem correção foi confirmada pela fabricante chinesa, expondo potencialmente milhões de usuários a riscos de segurança em todo o mundo. O problema afeta diversos modelos populares de roteadores e, apesar de ter sido reportado há mais de um ano, ainda não possui uma solução definitiva para equipamentos fora da Europa.
A falha foi descoberta pelo pesquisador independente Mehrun, da ByteRay, que identificou o problema e o reportou à empresa em maio de 2024. Embora a TP-Link afirme ter desenvolvido correções para os modelos europeus, os patches para equipamentos do resto do mundo ainda estão em desenvolvimento, deixando muitos usuários vulneráveis.
O problema técnico está relacionado a uma sobrecarga de buffer no protocolo CWMP (Protocolo de Gerenciamento CPE WAN) dos dispositivos afetados. Segundo Mehrun, a vulnerabilidade específica está na função que processa mensagens SetParameterValues de SOAP, onde a ausência de limites na verificação de pedidos “strncpy” permite a execução remota de códigos maliciosos.
Como funciona o ataque e modelos afetados
Um cenário de ataque realista envolveria criminosos direcionando seus esforços contra roteadores vulneráveis através de um servidor CWMP malicioso. O invasor enviaria uma carga SOAP excessivamente grande (acima de 3072 bytes), provocando a sobrecarga de buffer e comprometendo o dispositivo.
Os ataques exploram principalmente firmwares desatualizados ou dispositivos usando as credenciais padrão de fábrica que não foram alteradas pelos proprietários. Uma vez comprometido, o roteador pode ser manipulado para redirecionar consultas DNS para servidores maliciosos, interferir no tráfego não criptografado e distribuir malwares durante sessões de navegação.
Entre os modelos confirmados com a vulnerabilidade tp-link estão o Archer AX10 e Archer AX1500, mas outros dispositivos como EX141, Archer VR400 e TD-W9970 podem estar igualmente comprometidos. A lista completa de equipamentos afetados ainda não foi divulgada oficialmente pela fabricante.
Esta não é a primeira vez que roteadores se tornam alvo de ataques cibernéticos. Desde 2023, botnets como a Quad7 têm explorado falhas em equipamentos de rede para distribuir malwares, com campanhas recentes em 2024 visando o roubo de credenciais de serviços como o Microsoft 365.
Como se proteger da vulnerabilidade
Enquanto aguardam as correções oficiais, os usuários de roteadores TP-Link devem tomar medidas preventivas para minimizar os riscos:
- 1. Alterar imediatamente as senhas de administrador que vêm configuradas por padrão no dispositivo
- 2. Desativar o protocolo CWMP nas configurações do roteador (caso não seja necessário para o seu funcionamento)
- 3. Atualizar o firmware para a versão mais recente disponibilizada pelo fabricante
- 4. Se possível, segregar o roteador vulnerável das redes que contêm dados mais sensíveis ou críticos
Especialistas em segurança recomendam que usuários fiquem atentos às atualizações de firmware que serão disponibilizadas pela TP-Link nos próximos dias ou semanas, já que a correção definitiva desta vulnerabilidade exigirá a instalação de um patch oficial.
