أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) يوم الأربعاء ثغرتين أمنيتين في أجهزة التوجيه اللاسلكية من TP-Link إلى كتالوج الثغرات المستغلة فعليًا (KEV)، مؤكدة وجود أدلة على استغلالهما في هجمات نشطة.
الثغرات المدرجة تشمل:
-
CVE-2023-50224 (درجة CVSS: 6.5): ثغرة تجاوز المصادقة عبر الانتحال في خدمة httpd الخاصة بجهاز TP-Link TL-WR841N، والتي تعمل افتراضيًا على المنفذ TCP/80، ما يؤدي إلى كشف بيانات اعتماد حساسة مخزنة في المسار “/tmp/dropbear/dropbearpwd”.
-
CVE-2025-9377 (درجة CVSS: 8.6): ثغرة حقن أوامر نظام تشغيل تؤثر على أجهزة Archer C7 (EU) V2 و TL-WR841N/ND (MS) V9، ما قد يتيح للمهاجمين تنفيذ أوامر عن بُعد على الجهاز.
نهاية الخدمة وتحديات التحديث
وفقًا لموقع TP-Link الرسمي، فإن بعض الطرازات المتأثرة وصلت إلى مرحلة نهاية العمر الافتراضي (EoL)، مثل:
-
TL-WR841N (الإصدارات 10.0 و 11.0)
-
TL-WR841ND (الإصدار 10.0)
-
Archer C7 (الإصدارات 2.0 و 3.0)
ورغم توقف الدعم، أصدرت الشركة تحديثات برمجية في نوفمبر 2024 لمعالجة الثغرتين بعد رصد نشاط استغلال خبيث. وأكدت TP-Link أن المنتجات المتأثرة لم تعد تتلقى تحديثات أمنية نشطة، داعية المستخدمين إلى الترقية لأجهزة أحدث لضمان الأداء والحماية.
استغلال منسوب لجهة تهديد صينية
لم تُسجّل تقارير عامة تصف تفاصيل استغلال الثغرات، غير أن TP-Link، في تحذير محدث الأسبوع الماضي، ربطت النشاط المكتشف ببرمجية خبيثة تُعرف باسم Quad7 (CovertNetwork-1658)، والتي استُخدمت من قبل جهة تهديد مرتبطة بالصين تُعرف بالاسم الرمزي Storm-0940، لتنفيذ هجمات متقدمة من نوع Password Spray بقدرة عالية على التمويه.
إنذارات عاجلة للوكالات الفيدرالية
بسبب خطورة الاستغلال، دعت CISA الوكالات الفيدرالية المدنية التنفيذية (FCEB) إلى تطبيق إجراءات التخفيف اللازمة قبل 24 سبتمبر 2025 لتأمين شبكاتها من الهجمات.
ويأتي هذا التطور بعد يوم واحد فقط من إدراج CISA لثغرة أمنية عالية الخطورة أخرى (CVE-2020-24363، بدرجة CVSS: 8.8) تؤثر على منتجات TP-Link TL-WA855RE Wi-Fi Ranger Extender، والتي يجري استغلالها فعليًا من قبل المهاجمين.
