اخیراً یک آسیب‌پذیری بحرانی در برخی مدل‌های مودم‌ TP-Link شناسایی شده است که از طریق پروتکل مدیریت خودکار دستگاه CWMP یا همان TR-069 هکرها قادرند از راه دور وارد مودم شوند، تنظیمات DNS را تغییر داده و حتی بدافزار نصب کنند. این نوع نفوذ می‌تواند ترافیک اینترنت کاربران را دستکاری یا رصد نماید.

Zero-Day  در CWMP

پژوهشگر مستقل "Mehrun" (از گروه ByteRay) این نقص را در ژانویه ۲۰۲۵ کشف کرد و در تاریخ ۱۱ می آن را به TP-Link گزارش داد. این آسیب‌پذیری به صورت یک buffer overflow در پیام‌های SOAP SetParameterValues رخ می‌دهد.
حمله با ارسال payloadی بیش از ۳٬۰۷۲ بایت به‌راحتی باعث به‌هم‌ریختگی کنترل‌گر برنامه (program counter) و اجرای ناخواسته کد می‌شود. 
همچنین، بیش از ۴۲۰۰ دستگاه آسیب‌پذیر TP-Link که در اینترنت در دسترس بودند، شناسایی شده‌اند.

عملکرد TP-Link و وضعیت وصله‌های امنیتی

TP-Linkبرای نسخه‌های اروپایی پچ آماده کرده و مشغول آماده‌سازی به‌روزرسانی‌های بین‌المللی است. با این حال، مدل‌هایی مانند Archer AX10 و AX1500 (که CWMP در آن‌ها ممکن است به صورت پیش‌فرض فعال باشد) هنوز در معرض خطر هستند.

اضافه شدن به فهرست آسیب‌پذیری‌های پر‌استفاده (KEV)

آژانس امنیت سایبری ایالات متحده (CISA) دو آسیب‌پذیری فعال دیگرCVE-2023-50224  (بای‌پس احراز هویت) و CVE-2025-9377 (injection در صفحه Parental Control)را به فهرست KEV اضافه کرده است. این نقص‌ها در برخی مدل‌ها مثل Archer C7 و TL-WR841N/ND اجازه اجرای کد از راه دور را می‌دهند. از کاربران خواسته شده تا قبل از تاریخ ۲۴ سپتامبر ۲۰۲۵ به‌روزرسانی یا جایگزینی دستگاه آسیب‌پذیر را انجام دهند.

توصیه‌های حیاتی برای کاربران مودم‌های TP-Link

برای حفظ امنیت اینترنت خانگی، رعایت نکات زیر ضروری است:

1. فوری رمز عبور پیش‌فرض مودم را تغییر دهید و از رمز قوی و یکتا استفاده کنید.
   رمزهای پیش‌فرض هدف آسانی برای سوءاستفاده هستند.
2. در صورت عدم نیاز، پروتکل CWMP (TR-069) را غیرفعال کنید.
   از آن‌جا که CWMP ابزار قدرتمند مدیریت از راه دور است، غیرفعال‌سازی آن تا انتشار وصله امنیتی توصیه می‌شود.
3. نصب به‌روزرسانی‌های فریمور را به‌طور منظم پیگیری کنید.
   به‌ویژه برای مدل‌هایی مثل Archer AX10، AX1500، Archer C7 و TL-WR841N/ND که آسیب‌پذیری‌ها برای آن‌ها تأیید شده‌اند.
4. درصورت امکان، مدل‌های آسیب‌پذیر را تعویض یا کنار بگذارید.
   مدل‌هایی که به‌عنوان End-of-Life (EoL) شناخته شده و دیگر به‌روزرسانی نمی‌شوند، باید جایگزین شوند.

چرا این مشکل بسیار جدی است؟

پتانسیل کنترل کامل دستگاه توسط مهاجمان

با دسترسی به پروتکل CWMP، مهاجمان می‌توانند DNS را دستکاری کنند یا فریمورهای مخرب نصب نمایند امری که به نفوذ کامل به ترافیک شبکه و داده‌ها منجر می‌شود.

گستردگی اثرگذاری واقعی

وجود بیش از ۴٬۲۰۰ دستگاه آسیب‌پذیر به‌صورت آنلاین نشان می‌دهد که این آسیب‌پذیری صرفاً در حد آزمایش نیست، بلکه در عمل قابل بهره‌برداری است.

استفاده واقعی در حملات گسترده

زنجیره exploit شامل Quad7 botnet است که با سوءاستفاده از این آسیب‌پذیری، حملات پسورد اسپری علیه کاربران Microsoft 365 ترتیب می‌دهد.

جمع‌بندی

به‌روزرسانی فریمور، تغییر رمز پیش‌فرض، غیرفعال‌سازی CWMP و جایگزینی مودم‌های آسیب‌پذیر، اقدامات کلیدی و فوری برای محافظت از شبکه خانگی هستند.