TP-Link Yönlendirici Modellerindeki Sıfır Gün Açığı
TP-Link, dünya genelinde yaygın olarak kullanılan bir ağ ekipmanı üreticisidir. Ancak, son dönemlerde ortaya çıkan bir sıfır gün açığı, birçok yönlendirici modelini etkileyerek kullanıcıları tehlikeye atmıştır. CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), bu açığın yanı sıra diğer yönlendirici hatalarının da istismar edildiğini belirtmiştir.
Açığın Bulunuş Tarihi ve İlk Raporlama
Bu sıfır gün açığı, bağımsız bir tehdit araştırmacısı olan Mehrun (ByteRay) tarafından keşfedilmiş ve ilk olarak 11 Mayıs 2024 tarihinde TP-Link’e bildirilmiştir. TP-Link, BleepingComputer’a yaptığı açıklamada, açığın istismar edilebilirliği ve maruziyeti konusunda araştırmalar yürüttüğünü doğrulamıştır.
Patching Süreci ve Kullanıcı Tavsiyeleri
TP-Link, özellikle Avrupa modelleri için bir yamanın geliştirildiğini belirtirken, ABD ve diğer küresel sürümler için çalışmalara devam edildiğini aktarmıştır. Ancak, bu yamaların ne zaman kullanılabilir hale geleceği konusunda kesin bir tarih verilmemiştir. TP-Link’in açıklamasında, “Kullanıcıların, cihazlarını en son firma güncellemeleri ile güncel tutmalarını şiddetle tavsiye ediyoruz” denmiştir.
Açığın Teknik Detayları
Söz konusu sıfır gün açığı, TP-Link’in CWMP (CPE WAN Management Protocol) uygulamasında bir stack-based buffer overflow durumudur. Bu açık, bir fonksiyonu temsil eden SOAP SetParameterValues mesajlarını işleyen kısımda yer almaktadır. Problemin kaynağı ise, strncpy çağrılarındaki sınır kontrolünün eksikliği ile ilgilidir. Bu durum, 3072 bayttan fazla bir stack buffer boyutu olduğunda uzaktan kod yürütülmesine olanak tanımaktadır.
Mehrun, gerçek bir saldırının, savunmasız cihazları kötü niyetli bir CWMP sunucusu yönlendirmek ve ardından aşırı boyutlu SOAP yükü göndererek açığı tetiklemek olduğunu açıklamıştır. Eski firmware hatalarını istismar ederek veya kullanıcıların değiştirmediği varsayılan kimlik bilgilerle cihaza erişim sağlamak mümkün olmaktadır.
Açığın Sonuçları ve Kullanıcıların Alabileceği Önlemler
Bir cihazın RCE (Uzaktan Kod Yürütme) ile tehlikeye atılması durumunda, yönlendirici DNS sorgularını kötü niyetli sunuculara yönlendirebilir, şifrelenmemiş trafiği sessizce kesip manipüle edebilir ve web oturumlarına kötü niyetli yükler enjekte edebilir.
Yapılan testler, TP-Link’in Archer AX10 ve Archer AX1500 modellerinin bu savunmasız CWMP ikili dosyalarını kullandığını göstermiştir. Bu modeller, birçok pazarda yüksek talep görmektedir. Ayrıca, EX141, Archer VR400, TD-W9970 gibi diğer yönlendirici modellerinin de potansiyel olarak etkilenebileceği belirtilmiştir.
Kullanıcıların, TP-Link hangi cihazların savunmasız olduğunu ve bunlar için düzeltmeleri ne zaman çıkaracağını belirleyene kadar varsayılan yönetici şifrelerini değiştirmeleri, ihtiyaç yoksa CWMP’yi devre dışı bırakmaları ve cihaz için en son firma güncellemesini uygulamaları gerekmektedir. Mümkünse, yönlendiricinin kritik ağlardan ayrı tutulması önerilmektedir.
CISA’nın Uyarıları ve Diğer Açıklar
CISA, daha önce bulunan TP-Link açıkları olan CVE-2023-50224 ve CVE-2025-9377’yi “Bilinen İstismar Edilmiş Açıklar” kataloğuna eklemiştir. Bu açıklar bir araya geldiğinde, kötü niyetli aktörlerin uzaktan kod yürütmesine olanak sağlamaktadır. Quad7 botneti, bu açıkları istismar ederek yönlendiricilere özel yazılım yüklemekte ve bunları proxy veya trafik yansıtmasına dönüştürmektedir.
Çinli tehdit aktörleri, bu şekilde kırılmış yönlendiricileri kullanarak, meşru trafiğin içine karışarak kötü niyetli saldırıları gizlemektedir. Microsoft, 2024 yılı itibarıyla tehdit aktörlerinin bu botneti kullanarak bulut hizmetlerinde ve Microsoft 365’te şifre tarama saldırıları gerçekleştirdiğini gözlemlemiştir.
Sonuç olarak, TP-Link tarafından yaşanan bu güvenlik sorunları, kullanıcıların özellikle yönlendirici güvenliği konusuna dikkat etmelerini gerektirmektedir. Kullanıcıların aldıkları önlemler, hem kendilerini hem de ağlarını korumak adına büyük önem taşımaktadır.
