Prohlášení o zranitelnosti CVE-2023-50224 – Dopad na starší routery a přístupové body TP-Link

Společnost TP-Link si je vědoma nedávných veřejných zpráv a odhalení ze strany orgánů činných v trestním řízení, které popisují zneužívání starších spotřebitelských síťových zařízení, včetně routerů a přístupových bodů TP-Link, v souvislosti s CVE-2023-50224.

CVSS v3.0 Score: 6.5 / Medium

CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Společnost TP-Link provedla interní kontrolu a zjistila, že touto zranitelností může být ovlivněno několik starších produktů TP-Link. Všechny postižené produkty dosáhly konce životního cyklu (EOL) a již nejsou součástí standardního životního cyklu údržby společnosti TP-Link.

Toto doporučení poskytuje informace o dotčených starších modelech, aktuálním stavu nápravy, kde je to relevantní, a doporučených opatřeních pro zmírnění dopadů pro zákazníky:

Dotčené produkty/verze a opravy:

Důležitá poznámka k rozsahu

Výše uvedený seznam produktů odráží aktuální posouzení společnosti TP-Link na základě dostupných informací a probíhající analýzy. Seznam nemusí být kompletní  a mohou být identifikovány i další starší modely, revize hardwaru nebo regionální varianty.

Kompletní seznam produktů s ukončenou životností je k dispozici zde: TP-Link End of Life Products

Popis a dopad zranitelnosti:

Chyba v nesprávném ověřování umožňuje útočníkům v síti získat citlivé informace ve službě httpd. Úspěšné zneužití může vést k odhalení uložených přihlašovacích údajů, což vede k dalšímu ohrožení bezpečnosti. Veřejné zprávy naznačují, že tato zranitelnost může být aktivně zneužívána, a to i v kampaních zahrnujících manipulaci s DNS. Společnost TP-Link nadále sleduje dostupné informace o hrozbách a externí zprávy.

Stav nápravy

• Některé dotčené starší produkty obdržely bezpečnostní aktualizace, kde to bylo technicky proveditelné.
• Vzhledem k hardwarovým omezením, stáří platformy a nedostatku dostupných testovacích jednotek nemohou všechny starší produkty obdržet záplaty.
• Žádný z dotčených modelů nepodporuje cloudové ani automatické aktualizace firmwaru. Veškeré dostupné záplaty vyžadují ruční instalaci uživatelem.

Společnost TP-Link nadále vyhodnocuje proveditelnost dalších aktualizací pro některé starší produkty. Veškeré dostupné aktualizace budou zveřejněny na oficiálních webových stránkách podpory společnosti TP-Link a budou zohledněny v tomto upozornění.

Doporučení:

Společnost TP-Link důrazně doporučuje, aby zákazníci používající dotčená nebo potenciálně dotčená starší zařízení okamžitě provedli následující kroky:

1. Upgradujte na podporovaný produkt TP-Link, který pravidelně dostává bezpečnostní aktualizace.
2. Pokud je další používání staršího zařízení nevyhnutelné:
   Nainstalujte nejnovější dostupný firmware z oficiálních webových stránek TP-Link.
   • Zakažte vzdálenou správu a nepotřebné služby.
   • Omezte přístup zařízení pouze na důvěryhodné interní sítě.
3. Sledujte síťovou aktivitu, zda se neobjevuje neobvyklé chování DNS nebo neoprávněné změny konfigurace.

Prohlášení:

Toto upozornění slouží pouze pro informační účely a odráží aktuální posouzení společnosti TP-Link na základě dostupných informací.

Uvedené  produkty jsou starší zařízení, která dosáhla konce své životnosti (EOL) a nespadají pod standardní životní cyklus údržby společnosti TP-Link. Ačkoli společnost TP-Link poskytuje pokyny k zmírnění rizik, které pomáhají snižovat rizika, zákazníci jsou zodpovědní za posouzení svého vlastního prostředí a stanovení vhodných opatření.

Pokračující používání  starších zařízení může vystavit sítě bezpečnostním rizikům. Společnost TP-Link důrazně doporučuje migraci na podporované produkty, které pravidelně dostávají aktualizace zabezpečení.