A TP-Link figyelmeztetést adott ki egy botnetről, amely két sebezhetőséget kihasználva képes irodai és otthoni (SOHO) routereket kompromittálni, majd ezeket támadóplatformként használni a Microsoft 365 fiókok ellen.
A sérülékenységek az Archer C7 és a TL-WR841N/ND routereket érintik, de potenciálisan más modellek is veszélyeztetettek lehetnek. Annak ellenére, hogy ezek a routerek már elérték a támogatásuk végét (EOL), a TP-Link mégis firmware-frissítést adott ki a hibák javítására.
Az internetszolgáltatók (ISP) által kiadott routerek esetében is indokolt az ellenőrzés, mivel számos európai és észak-amerikai szolgáltató alkalmazta a TP-Link Archer C7 és TL-WR841N/ND modelleket, gyakran saját márkanév alatt. Például a holland Ziggo ISP a TP-Link Archer C7-et “Wifibooster Ziggo C7” néven forgalmazta, Ziggo-specifikus firmware-rel ellátva.
A CVE-2023-50224 és a CVE-2025-9377 sérülékenységek közül előbbi jogosulatlan hozzáférést biztosít a router jelszavainak megszerzéséhez, utóbbi pedig egy ismert szülői felügyelet funkcióhoz kapcsolódó parancsbefecskendezéses távoli kódfuttatási (RCE) hiba, amely a routeren tetszőleges kód futtatását teszi lehetővé a támadó számára.
Ezek kombinálásával a támadó a routert egy Quad7 (más néven 7777) nevű botnethez csatlakoztatja. A hálózat az így kompromittált eszközöket jelszó szórás támadásokhoz használja Microsoft 365 fiókok ellen. A támadási technika lényege a gyakran használt vagy gyenge jelszavak szisztematikus kipróbálása nagyszámú fiókon, illetve egyetlen fiók ellen több különböző jelszóval végzett kísérletezés.
A Microsoft már a tavalyi évben figyelmeztetett ugyanerre a botnetre, de akkor a konkrét sérülékenységek még nem voltak ismertek. A detektálás továbbra is nehéz, mivel a támadó infrastruktúra több ezer otthoni és kisvállalati IP-címet rejt magában. A TP-Link nyomatékosan kéri a felhasználókat a firmware-frissítések telepítésére, vagy támogatott modellre történő átállásra. Az amerikai CISA (Cybersecurity and Infrastructure Security Agency) szintén riasztást adott ki a két sérülékenységről.
Ajánlások a TP-Link routerek tulajdonosai számára
A gyártó ritkán ad ki firmware-frissítést EOL státuszú eszközökre, így ennek súlyát nem lehet eléggé hangsúlyozni. A botnethez való csatlakozás nemcsak másokra jelent veszélyt, hanem jelentősen lassíthatja az otthoni hálózat teljesítményét is.
- Ellenőrizze, hogy routere Archer C7 vagy TL-WR841N/ND modell-e, illetve más régebbi TP-Link típus. Ha igen, azonnal frissítse a firmware-t a TP-Link által kiadott verzióra!
- Ha már nincs támogatás vagy frissítés, erősen ajánlott új, támogatott modellre váltani.
- Változtassa meg a router admin jelszavát egyedi, erős és kizárólag erre a célra használt jelszóra!
- Tiltsa le a távfelügyeleti funkciót, hacsak nem feltétlenül szükséges, és győződjön meg arról, hogy a szülői felügyelet felülete csak hitelesített felhasználóknak érhető el!
Javaslatok Microsoft 365 felhasználók számára
Mivel a botnet jelenleg kifejezetten Microsoft 365 fiókok ellen van bevetve, az alábbi biztonsági intézkedések kulcsfontosságúak:
- Erős, egyedi jelszó alkalmazása a Microsoft 365 fiókhoz – kerülni kell a könnyen kitalálható, ismétlődő vagy közismert jelszavakat.
- Többlépcsős azonosítás (MFA) engedélyezése, amely nagymértékben csökkenti a jogosulatlan hozzáférés esélyét még jelszólopás esetén is.
- Figyelje a gyanús bejelentkezéseket és értesítéseket, valamint rendszeresen ellenőrizze a bejelentkezési előzményeket!
- Ha támadásra gyanakszik, azonnal állítson be új jelszót, és futtasson biztonsági ellenőrzést a fiókján!
A botnetekhez hasonló fenyegetések elleni hatékony védekezés alapja a rendszeres frissítés, az erős hitelesítési mechanizmusok alkalmazása, valamint a biztonsági javítások folyamatos nyomon követése és telepítése. Nem érdemes megvárni, amíg a router vagy a Microsoft 365 fiók egy támadó eszköztárának részévé válik.
