Pod koniec ubiegłego roku TP-Link potwierdził i załatał dwie luki w bezpieczeństwie wybranych, wycofanych już z eksploatacji (EOL) routerach: Archer C7 (EU) V2 i TL-WR841N/ND (MS) V9. Co ważne, kilka dni temu 29 sierpnia 2025 producent opublikował biuletyn (FAQ 4365) który wskazał obie podatności jako aktywnie wykorzystywane do włączania urządzeń w botnet Quad7/7777, który służy do niskoszumowych ataków password spraying na konta Microsoft 365.
Chodzi konkretnie o luki:
- CVE-2023-50224 – błąd uwierzytelniania w usłudze httpd który pozwala odczytać hasła zapisane na routerze (plik dropbearpwd). To błąd umożliwiający pierwszy krok przejęcia. (Uwaga: niektóre publikacje w CVE mylnie podają rok 2025, w trakcie gdy luka została opublikowana już 2 lata wcześniej, i w przypadku nie aktualizowanych urządzeń mogła być przez długi okres wykorzystywana na szeroką skalę).
- CVE-2025-9377 – luka w module Kontroli rodzicielskiej którą można wykorzystać do zdalnego wykonania kodu na urządzeniu (RCE), co w połączeniu z poprzednią podatnością daje pełne przejęcie urządzenia.
Dlaczego stare luki i podatności są wciąż groźne? Atakujący łączą rozmaite podatności: najpierw kradną hasła admina, potem uruchamiają kod i dołączają router do botnetu. Z skompromitowanego i przejętego w ten sposób urządzenia wychodzą pojedyncze, rozproszone próby logowania do usług Microsoft 365 – z uwagi na bardzo niską amplifikację ataku trudne do wykrycia klasycznymi progami.
Kto jest narażony? Wszyscy użytkownicy wybranych urządzeń mający włączone zdalne zarządzanie routerem z Internetu oraz korzystający z nieaktualnego firmware. To ustawienie nie jest domyślnie włączone, ale wiele osób aktywowało je dla wygody, lub do celów zdalnego nadzoru.
Jak się zabezpieczyć (w 5 krokach):
- zainstalować firmware 241108 dla dotkniętych modeli (szczegółowy opis w TP-Link FAQ 4308).
-
linki do pobrania poprawionego oprogramowania układowego dostępne są na stronie producenta.
- wyłącz zdalne zarządzanie z internetu, urządzenie konfiguruj wyłącznie z sieci lokalnej / przez Tether.
- ustaw unikalne, mocne hasło admina routera.
- włącz MFA na wszystkich kontach Microsoft 365 i monitoruj anomalie logowania (Microsoft – publikuje konkretne wskazówki i zapytania).
- rozważ wymianę sprzętu EOL — aktualny model to dłuższe wsparcie i lepsza ochrona.
Rozszerzone checklisty (dla użytkowników i dla adminów M365).
Użytkownicy domowi / SOHO (TP-Link)
- Sprawdź model i wersję sprzętu (etykieta lub panel www): Archer C7 (EU) V2, TL-WR841N/ND (MS) V9 (i inne, jeśli producent potwierdzi).
- Zaktualizuj firmware do wydania z listopada 2024/”241108″ dla dotkniętych modeli.
- Wyłącz zdalne zarządzanie z Internetu (WAN) – zostaw dostęp tylko z LAN / aplikacji Tether.
- Zmień hasło administratora na unikalne (min. 12–16 znaków, generator + manager haseł).
- Włącz HTTPS do panelu i – jeśli jest opcja – ogranicz IP, z których wolno zarządzać (ACL).
- Usuń nietypowe przekierowania portów/UPnP, zwłaszcza niespodziewane (np. 7777, 22, 23, 80/443).
- Sprawdź DNS – czy nie zostały podmienione; w razie wątpliwości ustaw DNS operatora lub publiczne (np. 1.1.1.1/8.8.8.8).
- Jeśli coś wygląda podejrzanie: backup ważnych ustawień → przywróć fabryczne → wgraj najnowszy firmware → skonfiguruj od zera (nie z kopii).
- Rozważ wymianę urządzenia EOL na wspierany model (dłuższe wsparcie = mniejsze ryzyko).
- Na kontach: włącz MFA (Microsoft 365 i inne krytyczne usługi).
Admini Microsoft 365 / SecOps (wykrywanie „low-noise” password spraying)
- MFA dla wszystkich + Conditional Access (wymuszaj MFA/risk-based, odetnij „niezgodne” urządzenia).
- Wyłącz Legacy/Basic Auth (POP/IMAP/SMTP AUTH) oraz protokoły starsze niż OAuth.
- Skonfiguruj Smart Lockout / ochronę haseł (ban powszechnych haseł).
- Monitoruj niskoszumowe próby: mało prób per użytkownik, ale z jednego IP na wielu użytkowników albo wiele IP na jednego użytkownika.
- Dodaj alerty na IP rezydencjalne z podwyższoną liczbą unikalnych celów (dcount(UserPrincipalName)).
- Koreluj z proxy/firewallem: wyjścia na nietypowe porty (np. 7777), nagłe „fan-out” po C2/ASN.
- Źródła i materiały: Oficjalne CVE (NVD/CVE.org), FAQ 4308 TP-Link (Quad7 + łaty), KEV CISA, blog Microsoft o CovertNetwork-1658/Quad7, analiza Sekoia.io.
Czy istnieją również inne podatne routery TP-Link (często EOL) ?
Poza Archer C7 i TL-WR841N/ND, w sieciach nadal działają stare modele z lat 2010s, dla których publikowano podatności typu command injection i buffer overflow w panelu WWW – m.in. TL-WR940N, TL-WR740N, TL-WR941ND, TL-WR1043ND. Część z nich figuruje w CISA KEV (np. CVE-2023-33538 dla WR940N/WR841N/WR740N), co potwierdza aktywną eksploatację. Jeśli posiadasz którykolwiek z tych modeli – szczególnie w wersjach V1–V6/V10 – odłącz zdalne zarządzanie, sprawdź, czy w ogóle istnieje aktualizacja, i rozważ jego wymianę na wspierany sprzęt.
Legenda skrótowa: KEV = w katalogu CISA „Known Exploited Vulnerabilities” (potwierdzona eksploatacja w naturze).
| Model (HW) | Przykładowe CVE (rok) | Co to robi | KEV | Notatka |
|---|---|---|---|---|
| TL-WR940N (V2/V4 i inne warianty) | CVE-2023-33538 – command injection w /userRpm/WlanNetworkRpm; CVE-2023-36354/36356 – przepełnienie bufora / out-of-bounds |
RCE/DoS z WWW | TAK (33538) | CISA zaleca wycofanie z użycia dla EOL/EoS; dotyczy też WR841N/WR740N (patrz niżej). CISANVD+2NVD+2 |
| TL-WR841N (V8/V10…) | CVE-2023-39471 – RCE (command injection), CVE-2023-50224 – wyciek haseł (dropbearpwd), CVE-2022-42433 – RCE |
RCE / kradzież haseł | (33538 dla V8/V10 – TAK, patrz wyżej) | To obok Archera C7 jeden z „bohaterów” obecnej fali; kilka niezależnych wektorów. NVD+3NVD+3NVD+3 |
| TL-WR740N (V1/V2) | CVE-2023-33538 – command injection; CVE-2022-46430 – RCE przez upload firmware (auth); CVE-2022-4296 – wyczerpanie zasobów (ARP) | RCE/DoS | TAK (33538) | Klasyczny, masowo zalegający w małych sieciach. CISANVD+2NVD+2 |
| TL-WR941ND (V5/V6) | CVE-2023-36354/36356 – błędy w modułach WWW; CVE-2023-39747 – overflow w /userRpm/WlanSecurityRpm |
DoS / potencjalne RCE | – | Często bywa „pożyczonym” zamiennikiem WR841N; podatności pokrywają się rodziną. NVD+2NVD+2 |
| TL-WR1043ND (V1/V2/V3) | CVE-2018-16119 – RCE (overflow w httpd), CVE-2019-6971/6972 – obejście autoryzacji / słabe cookie, CVE-2022-46428 – RCE przez upload firmware (auth) | RCE / auth bypass | – | Bardzo popularny w PL; mnóstwo starych egzemplarzy nadal żyje w SOHO. NVD+1exploit-db.comcvedetails.com |
| WR802N / WR902AC (niektóre rewizje, region JP) | CVE-2023-36489 – zdalne wykonanie poleceń (OS command injection) | RCE (LAN-adjacent) | – | Aktualizacje dla JP wskazane w NVD; status EOL zależny od regionu. NVD |
Wskazówka: jeśli urządzenie jest EOL i/lub brak dla niego aktualnych łatek – rozważ wymianę. Dla części niżej wymienionych modeli podatności są w katalogu CISA KEV (aktywnie wykorzystywane „na wolności”).
| Model (HW) | Przykładowe luki | Co to daje atakującemu | Status zalecany |
|---|---|---|---|
| TL-WR841N/ND (różne V) | wyciek haseł z httpd, command injection, RCE | kradzież admina, pełne przejęcie | EOL → wymienić |
| TL-WR940N (V2/V4…) | command injection, overflow | RCE/DoS | EOL → wymienić |
| TL-WR740N (V1/V2) | command injection, RCE (upload), DoS | RCE/DoS | EOL → wymienić |
| TL-WR941ND (V5/V6) | overflow / błędy WWW | DoS / potencjalny RCE | EOL → wymienić |
| TL-WR1043ND (V1–V3) | RCE w httpd, auth-bypass, upload→RCE | pełne przejęcie | EOL → wymienić |
| WR802N / WR902AC (część rew.) | OS command injection | RCE (LAN-adjacent) | sprawdź wsparcie regionu / wymiana zalecana |
| Archer C7 (EU) V2 | RCE (Kontrola rodzic.), łańcuch z wyciekiem haseł | pełne przejęcie / botnet | zaktualizować do 241108 |
| TL-WR841N/ND (MS) V9 | jw. (łańcuch) | pełne przejęcie / botnet | zaktualizować do 241108 |
Jak samodzielnie sprawdzić, czy Twój router jest EOL / Czy może być podatny? (krok po kroku)
- Odczytaj dokładną nazwę i wersję sprzętową z etykiety (np. TL-WR841N V10).
- Wejdź na stronę wsparcia TP-Link dla tego modelu i regionu. Jeśli brak aktualnych plików / ostatni firmware sprzed lat → prawdopodobnie EOL.
- Przejrzyj zakładkę „Firmware/Driver/FAQ/Advisory” – czy są wzmianki o CVE i łatkach?
- Sprawdź dziennik zmian (changelog). Jeżeli nie ma wpisów bezpieczeństwa, a są znane CVE → traktuj jak niezałatane.
- Zajrzyj do CISA KEV / NVD po numer modelu – jeśli model/CVE widnieje w KEV → priorytetowa wymiana.
- Sprawdź ustawienia routera: czy zdalne zarządzanie z WAN/SSH/TELNET jest włączone, czy są dziwne przekierowania portów/UPnP (np. 7777, 22, 23).
- Jeśli masz wątpliwości: kopiuj konfigurację → reset do fabrycznych → najnowszy firmware → twarde hasło → wyłącz zdalne zarządzanie.
Szybka ścieżka decyzji – Czyli co sugerujemy wykonać w przypadku stwierdzenia obecności podatnych urządzeń w sieci:
- Krytyczne (wymień teraz): WR841N/ND, WR940N, WR740N, WR941ND, WR1043ND – stare rewizje, EOL, liczne RCE.
- Aktualizuj i utwardź: Archer C7 (EU V2), TL-WR841N/ND (MS V9) – wgraj 241108, wyłącz WAN-admin.
- Niepewne / egzotyczne rewizje: WR802N/WR902AC – sprawdź stronę regionu; jeśli brak poprawek → wymień.
- Jeśli masz wątpliwości skontaktuj się ze swoim działem IT, lub działem wsparcia producenta.
Po czym poznać, że urządzenia mogą być już zainfekowane? (symptomy infekcji)
- niespodziewane przekierowania portów / reguły UPnP (np. 7777),
- zmienione DNS bez Twojej ingerencji,
- wysokie obciążenie CPU / niestabilny internet bez jasnej przyczyny,
- w logach logowania admin spoza Twojego IP / o nietypowych porach,
- po reboocie konfiguracja „wraca” (utrwalenie malware).
Nie tylko TP-Link: od „A do Z” (ASUS → Zyxel) stary SOHO-sprzęt niejednokrotnie bywa paliwem dla botnetów. Łańcuchy ataku podobne do opisanego wyżej nie są unikatowe. Botnety regularnie rekrutują stare, nieaktualizowane routery wielu marek, a najważniejszym czynnikiem ryzyka jest status EOL i brak łatek – niezależnie od logo na obudowie. Przykłady z ostatnich lat:
-
ASUS — kampania Cyclops Blink (następca VPNFilter) infekowała m.in. routery ASUS; ostrzegały o tym CISA/NCSC oraz analizy branżowe. cisa.govTrend Micro
-
D-Link — „dojrzałe” luki w modelach EOL pozostają na celowniku wariantów Mirai/Kaiten (np. FICORA, CAPSAICIN); producenci i CERT-y wprost rekomendują wycofanie EOL. Fortinetsupportannouncement.us.dlink.commycert.org.my
-
MikroTik — botnet Mēris wykorzystywał historyczne błędy (np. CVE-2018-14847) w starych instalacjach RouterOS; dostawca od lat publikuje łatki, ale niezaktualizowane egzemplarze nadal bywają wykorzystywane. The Cloudflare Blogmikrotik.com+1
-
TOTOLINK — liczne RCE/CI (np. CVE-2022-25075) masowo włączane do arsenału kampanii Mirai/Beastmode; niezałatane urządzenia trafiają do DDoS-owych botnetów. nvd.nist.govFortinetbankinfosecurity.com
-
Zyxel — znane łańcuchy RCE/command injection (np. CVE-2023-28771) były i są aktywnie wykorzystywane; obserwowano ładunki powiązane z rodziną Mirai. Rapid7Fortinetgreynoise.io
Jaki z tego możemy wyciągnąć wniosek ? Problem jest systemowy – dotyczy każdego starego, niewspieranego lub niezałatanego routera SOHO, nie konkretnego producenta. Praktyka minimalizacji ryzyka pozostaje ta sama: wymiana EOL, szybkie aktualizacje, wyłączenie zdalnego zarządzania z WAN, twarde hasła i segmentacja sieci (IoT/guest), a po stronie organizacji MFA i detekcja „niskoszumowych” logowań.
Czujesz, że masz pytania i potrzebujesz naszego wsparcia ? Skontaktuj się z nami.
