2025年9月4日Ravie Lakshmanan脆弱性 / ネットワークセキュリティ
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は水曜日、TP-Link製無線ルーターに影響を及ぼす2つのセキュリティ脆弱性を、既知の悪用済み脆弱性(KEV)カタログに追加しました。これらが実際に悪用されている証拠があると指摘しています。
問題となっている脆弱性は以下の通りです。
- CVE-2023-50224(CVSSスコア: 6.5)- TP-Link TL-WR841Nのhttpdサービスにおける認証バイパス(なりすまし)脆弱性。デフォルトでTCPポート80で待ち受けており、「/tmp/dropbear/dropbearpwd」に保存された認証情報が漏洩する可能性がある。
- CVE-2025-9377(CVSSスコア: 8.6)- TP-Link Archer C7(EU) V2およびTL-WR841N/ND(MS) V9におけるOSコマンドインジェクション脆弱性。リモートでコード実行が可能となる恐れがある。
同社ウェブサイトに掲載された情報によると、以下のルーターモデルはサポート終了(EoL)となっています。
- TL-WR841N(バージョン10.0および11.0)
- TL-WR841ND(バージョン10.0)
- Archer C7(バージョン2.0および3.0)
しかし、TP-Linkは2024年11月時点で、悪意ある悪用活動があったことから、これら2つの脆弱性に対するファームウェアアップデートをリリースしています。
「対象製品はサービス終了(EOS)となっており、セキュリティアップデートを含む積極的なサポートは終了しています」と同社は述べています。「より強固な保護のため、お客様には新しいハードウェアへのアップグレードを推奨します。これにより最適なパフォーマンスとセキュリティが確保されます。」
上記脆弱性の悪用を明示的に示す公的な報告はありませんが、TP-Linkは先週更新したアドバイザリの中で、実際の悪用活動がQuad7(別名CovertNetwork-1658)と呼ばれるボットネットに関連しているとし、中国系の脅威アクターStorm-0940によって高度に回避的なパスワードスプレー攻撃に利用されていると述べています。
積極的な悪用が確認されていることから、連邦民間行政機関(FCEB)には、2025年9月24日までに必要な対策を講じてネットワークを保護するよう求められています。
この動きは、CISAがTP-Link TL-WA855RE Wi-Fiレンジエクステンダー製品に影響を与える別の高深刻度の脆弱性(CVE-2020-24363、CVSSスコア: 8.8)を、積極的な悪用の証拠を理由に既知の悪用済み脆弱性(KEV)カタログに追加した翌日に発表されたものです。
翻訳元: https://thehackernews.com/2025/09/cisa-flags-tp-link-router-flaws-cve.html