Zero-Day Baru TP-Link Terungkap, CISA Peringatkan Eksploitasi Router
TP-Link mengonfirmasi adanya kerentanan zero-day yang belum ditambal dan berdampak pada sejumlah model router populer, termasuk Archer AX10 dan Archer AX1500. Sementara itu, CISA (Cybersecurity and Infrastructure Security Agency) memperingatkan bahwa celah keamanan lain di perangkat TP-Link sudah dieksploitasi dalam serangan nyata.
Detail Kerentanan Zero-Day
Kerentanan ditemukan oleh peneliti keamanan independen Mehrun (ByteRay) dan pertama kali dilaporkan ke TP-Link pada 11 Mei 2024.
- Jenis flaw: Stack-based buffer overflow dalam implementasi CWMP (CPE WAN Management Protocol).
- Penyebab: Tidak adanya pemeriksaan batas pada pemanggilan fungsi
strncpy. - Dampak: Penyerang bisa menjalankan remote code execution (RCE) jika berhasil mengirim payload SOAP berukuran besar (>3072 byte).
- Skenario realistis: Mengarahkan router rentan ke server CWMP berbahaya lalu menyuntikkan payload untuk memicu overflow.
Setelah dikompromikan, router bisa diarahkan untuk:
- Mengalihkan kueri DNS ke server jahat.
- Menyadap atau memanipulasi lalu lintas tidak terenkripsi.
- Menyuntikkan muatan berbahaya ke sesi web.
Selain AX10 dan AX1500, model EX141, Archer VR400, TD-W9970, dan kemungkinan beberapa model lain juga terindikasi terdampak.
Status Patch dari TP-Link
- Eropa: Patch sudah tersedia untuk beberapa model.
- AS & Global: Perbaikan masih dalam pengembangan, tanpa estimasi waktu rilis.
- Rekomendasi sementara:
- Ubah password admin default.
- Nonaktifkan CWMP jika tidak diperlukan.
- Gunakan firmware terbaru.
- Segmen router dari jaringan kritikal.
CISA Tambahkan Flaw TP-Link ke Daftar Eksploitasi
CISA baru saja menambahkan dua kerentanan lain ke katalog Known Exploited Vulnerabilities (KEV):
- CVE-2023-50224 → Authentication bypass.
- CVE-2025-9377 → Command injection.
Keduanya dieksploitasi secara berantai oleh botnet Quad7 untuk mendapatkan RCE di router rentan. Botnet ini digunakan oleh aktor ancaman asal Tiongkok untuk:
- Menyulap router jadi proxy lalu lintas berbahaya.
- Menyamarkan serangan agar tampak seperti traffic sah.
- Melakukan serangan password spray ke layanan cloud & Microsoft 365.
Kesimpulan
Kerentanan zero-day terbaru ini menambah daftar panjang masalah keamanan pada router TP-Link. Hingga patch resmi dirilis, pengguna disarankan melakukan mitigasi manual demi menghindari eksploitasi.
Sumber: TP-Link, CISA
