เตือนภัย แฮกเกอร์เล่นงานเราเตอร์ TP-Link รุ่นเก่า แนะนำให้เลิกใช้

สำนักงานความมั่นคงด้านไซเบอร์ของสหรัฐฯ หรือ CISA ออกประกาศเตือนเร่งด่วนถึงผู้ใช้งานและองค์กรทั่วโลกเกี่ยวกับช่องโหว่ความปลอดภัยระดับรุนแรงในเราท์เตอร์ TP-Link รุ่นเก่าหลายรุ่น ซึ่งปัจจุบันไม่ได้รับการสนับสนุนจากผู้ผลิตอีกแล้ว และที่น่ากังวลคือ ขณะนี้แฮกเกอร์กำลังใช้ช่องโหว่นี้ในการโจมตีจริงแล้ว

ช่องโหว่นี้มีรหัส CVE-2023-33538 ได้รับคะแนนความรุนแรงระดับ 8.8 เต็ม 10 ตามมาตรฐาน CVSS ซึ่งถือว่าอยู่ในระดับ “Critical” โดยเป็นช่องโหว่ประเภท Command Injection ที่อนุญาตให้ผู้โจมตีสามารถส่งคำสั่งไปยังตัวอุปกรณ์ผ่าน URL บนเว็บอินเตอร์เฟสได้โดยไม่ต้องยืนยันตัวตน

รุ่นที่ CISA ระบุว่ามีช่องโหว่นี้และมีการโจมตีเกิดขึ้นแล้ว ได้แก่:

• TP-Link TL-WR940N
• TP-Link TL-WR841N
• TP-Link TL-WR740N

อุปกรณ์เหล่านี้เป็นที่นิยมอย่างมากในอดีต โดยเฉพาะ TL-WR841N ที่มียอดขายนับล้านเครื่องทั่วโลก ซึ่ง TP-Link ได้หยุดการสนับสนุนเฟิร์มแวร์และอัปเดตความปลอดภัยในอุปกรณ์เหล่านี้มานานเกือบ 10 ปีแล้ว ทำให้ช่องโหว่นี้ไม่สามารถแก้ไขได้ผ่านการอัปเดตซอฟต์แวร์

ช่องโหว่นี้เปิดโอกาสให้ผู้ไม่หวังดีสามารถเข้าควบคุมอุปกรณ์จากระยะไกล (ในเครือข่ายเดียวกัน) หรือแม้แต่จากอินเทอร์เน็ต หากอุปกรณ์เปิดใช้งานฟีเจอร์ Remote Management ไว้ ซึ่งจะกลายเป็น “จุดอ่อน” ให้ผู้โจมตีสามารถเข้าควบคุมระบบ, ปล่อยมัลแวร์, เปลี่ยนการตั้งค่าของเราเตอร์ หรือแม้แต่ใช้เป็นฐานโจมตี DDoS ใส่เหยื่อรายอื่น

มีรายงานว่า Proof-of-Concept (PoC) ของช่องโหว่นี้เคยถูกเผยแพร่บน GitHub และแม้จะถูกลบออกไปแล้ว แต่โค้ดยังคงแพร่กระจายอยู่ในกลุ่มผู้โจมตี และมีการนำไปใช้งานจริงอย่างแพร่หลาย

CISA ได้เพิ่มช่องโหว่นี้ในรายการ “ช่องโหว่ที่ถูกใช้โจมตีจริง” (Known Exploited Vulnerabilities Catalog) พร้อมระบุให้หน่วยงานของรัฐสหรัฐฯ ที่ยังใช้อุปกรณ์รุ่นดังกล่าว ต้องเลิกใช้งานหรือถอดออกจากระบบก่อนวันที่ 7 กรกฎาคม 2025 เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นจากการถูกเจาะระบบ

สำหรับผู้ใช้ทั่วไปที่ยังใช้งานเราเตอร์ 3 รุ่นนี้อยู่ ถึงเวลาต้องเปลี่ยนอุปกรณ์ใหม่ ที่ยังได้รับการสนับสนุนจากผู้ผลิต หรือหากยังไม่สามารถเปลี่ยนได้จริงๆ ก็ต้องปิดการเข้าถึงจากภายนอก (Remote Management)

ที่มา