ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), TP-Link kablosuz yönlendiricilerinde bulunan iki önemli güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) listesine ekledi. Bu açıkların aktif olarak kötü niyetli aktörler tarafından kullanıldığına dair kanıtlar mevcut.
Öne Çıkan Güvenlik Açıkları
İlk olarak CVE-2023-50224, TP-Link TL-WR841N modelinin httpd servisi üzerinde kimlik doğrulama atlatma ve sahtecilik zafiyetine işaret ediyor. Bu açık, TCP 80 portu üzerinden çalışan serviste kimlik bilgilerini ifşa edebiliyor ve CVSS skoru 6.5 olarak raporlanmıştır.
İkinci kritik açık CVE-2025-9377 ise TP-Link Archer C7(EU) V2 ve TL-WR841N/ND(MS) V9 modellerinde işletim sistemi komut enjeksiyonuna olanak tanıyor. Bu durum, uzaktan kod yürütülmesine sebep olabilir ve CVSS puanı 8.6 olarak belirtilmiştir.
Ürünlerin Destek Durumu ve Güncellemeler
TP-Link, bu modellerin bir kısmının kullanım ömrünün sonuna (EoL) ulaştığını ve artık resmi destek ve güvenlik güncellemeleri almadığını açıkladı. Ancak Kasım 2024 itibarıyla, kötü amaçlı istismar faaliyetleri nedeniyle bu açıklar için yazılım güncellemeleri yayınlandı. Şirket, kullanıcıların daha güvenli ve performanslı deneyim için yeni donanımlara geçiş yapmasını öneriyor.
Aktif İstismar ve Tehdit Aktörleri
Her ne kadar kamuya açık raporlar sınırlı olsa da, TP-Link tarafından yapılan uyarıya göre, “Quad7” (CovertNetwork-1658) adlı botnet ve Çin bağlantılı Storm-0940 tehdit aktörü bu açıkları aktif şekilde kullanıyor. Storm-0940 özellikle yüksek hacimli kaçak parola deneme saldırıları gerçekleştiriyor.
Federal Kurumlar İçin Önemli Uyarı
Federal Sivil Yürütme Birimi (FCEB) gibi kurumların, ağ güvenliğini sağlamak amacıyla 24 Eylül 2025 tarihine kadar gerekli önlemleri almaları talep ediliyor. Bu gelişme, CISA’nın bir önceki gün TP-Link TL-WA855RE Wi-Fi Ranger Extender ürünündeki başka yüksek şiddetli bir açığı da KEV kataloğuna eklemesiyle paralel gerçekleşti.