Routery Wi-Fi przeznaczone do wycofania, domyślne hasło admin:admin i podatność znana od dwóch lat. To wystarczy, żeby zainfekować urządzenie i włączyć je do botnetu atakującego inne sieci. Schemat jest prosty i powtarzalny, bo tysiące takich routerów wciąż działają w firmach i domach.
Atakujący skanują sieć w poszukiwaniu podatnych routerów
Od czerwca 2025 r., kiedy amerykańska agencja CISA dodała tę podatność do katalogu aktywnie eksploatowanych luk, wzrosła liczba automatycznych skanów szukających podatnych urządzeń. Exploity próbują pobrać i uruchomić złośliwe oprogramowanie bezpośrednio na routerze.
Jak działa atak: Atakujący wysyła specjalnie spreparowane żądanie HTTP do panelu zarządzania routerem. Pole nazwy sieci Wi-Fi (ssid1) nie jest walidowane, więc można wstrzynąć w nie dowolne polecenie systemowe. Router je wykonuje z uprawnieniami administratora.
Po skutecznej infekcji router pobiera wariant złośliwego oprogramowania Mirai i staje się częścią botnetu. Zainfekowane urządzenie służy dalej jako serwer dystrybuujący złośliwe pliki dla kolejnych ofiar i bierze udział w atakach DDoS na inne cele.
Kluczowa informacja: Skuteczna eksploatacja wymaga zalogowania się do panelu zarządzania. W praktyce nie stanowi to bariery, bo ogromna część tych routerów działa z domyślnymi danymi logowania admin:admin, które atakujący sprawdzają w pierwszej kolejności.
Producent nie wyda poprawki. Jedynym wyjściem jest wymiana sprzętu
Wymienione modele są oficjalnie wycofane z produkcji i wsparcia technicznego. TP-Link potwierdził, że nie planuje wydawać żadnych aktualizacji oprogramowania dla tych urządzeń. Podatność została ujawniona publicznie w 2023 roku i od tej pory nie ma żadnej łaty do zainstalowania.
Router podłączony do sieci firmowej i działający z domyślnym hasłem to urządzenie, które atakujący może przejąć bez szczególnych umiejętności. Zainfekowany router ma pełny wgląd w ruch sieciowy i może służyć jako punkt wejścia do głębszych części infrastruktury.
Co zrobić jeśli masz jeden z tych routerów
- Wymień router na obsługiwany model. To jedyne skuteczne rozwiązanie. Dla urządzeń end-of-life nie istnieje żadna poprawka i nie pojawi się w przyszłości.
- Natychmiast zmień domyślne hasło. Jeśli wymiana sprzętu nie jest możliwa od ręki, zmień hasło administratora z admin:admin na silne, unikalne hasło. To nie eliminuje podatności, ale podnosi poprzeczkę dla automatycznych scanów.
- Ogranicz dostęp do panelu zarządzania. Panel administracyjny nie powinien być dostępny z internetu. Jeśli router na to pozwala, wyłącz zdalny dostęp (Remote Management) i zostaw dostęp tylko z sieci lokalnej.
- Sprawdź listę podłączonych urządzeń. Jeśli masz podejrzenie, że router mógł być już zainfekowany, przejrzyj urządzenia podłączone do sieci i monitoruj ruch wychodzący.
- Zinwentaryzuj sprzęt sieciowy. Sprawdź, które urządzenia w Twojej firmie mają aktywne wsparcie producenta. Sprzęt end-of-life bez aktualizacji to stałe ryzyko, które rośnie z czasem.
Domyślne hasła w urządzeniach IoT to jeden z najczęściej wykorzystywanych wektorów ataku. Automatyczne skany sprawdzają admin:admin, root:admin i kilkadziesiąt innych kombinacji w ciągu sekund. Zmiana hasła przy pierwszym uruchomieniu urządzenia to minimum, które eliminuje całą klasę takich ataków.
Sprawdź, czy masz któryś z tych routerów
- TP-Link TL-WR940N v2 i v4
- TP-Link TL-WR740N v1 i v2
- TP-Link TL-WR841N v8 i v10
Jeśli któryś z tych modeli obsługuje ruch w Twojej firmie lub sieci domowej, priorytetem powinno być jak najszybsze planowanie wymiany na sprzęt z aktywnym wsparciem producenta i możliwością aktualizacji oprogramowania.