أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية تحذيراً بإضافة ثغرتين خطيرتين في أجهزة الراوتر TP-Link إلى قائمة الثغرات المستغلة فعلياً، وذلك بعد رصد أدلة مؤكدة على استخدامها في هجمات سيبرانية نشطة. الثغرتان تؤثران على أجهزة شهيرة من TP-Link، خاصة تلك التي لم تعد مدعومة تقنياً.
الثغرة الأولى، والتي تحمل الرقم CVE-2023-50224 وتقييم خطورة 6.5، تسمح بتجاوز آلية التحقق من الهوية عبر انتحال الهوية ضمن خدمة httpd على المنفذ 80 في جهاز TL-WR841N، ما يؤدي إلى كشف بيانات الاعتماد المخزّنة في المسار المؤقت /tmp/dropbear/dropbearpwd. أما الثغرة الثانية CVE-2025-9377، فتُعدّ أكثر خطورة بتقييم 8.6، وتسمح بحقن أوامر في نظام التشغيل ما يتيح للمهاجم تنفيذ تعليمات عن بعد على أجهزة Archer C7(EU) V2 وTL-WR841N/ND(MS) V9.
شركة TP-Link أوضحت أن الأجهزة المتأثرة قد خرجت من مرحلة الخدمة النشطة، ولم تعد تتلقى تحديثات أمان دورية، إلا أنها أصدرت تحديثات تصحيحية استثنائية في نوفمبر 2024 بعد رصد نشاط استغلالي موجه. ودعت الشركة العملاء إلى ترقية أجهزتهم إلى نماذج أحدث لضمان مستوى أمان مقبول.
رغم غياب تقارير علنية تفصيلية حول كيفية استغلال هذه الثغرات، إلا أن التحديث الأخير من TP-Link أشار إلى ارتباط النشاط الاستغلالي بشبكة روبوتية تُعرف باسم Quad7 (أو CovertNetwork-1658)، وهي شبكة تستخدمها جهة تهديد صينية تُعرف باسم Storm-0940 لتنفيذ هجمات رش كلمات المرور عالية التمويه.
وفي ظل هذا التصعيد، دعت CISA كافة الجهات الفيدرالية ضمن القطاع المدني في الولايات المتحدة إلى تطبيق الإجراءات التصحيحية قبل 24 سبتمبر 2025، لحماية شبكاتها من الهجمات المستهدفة.
الجدير بالذكر أن هذه التحذيرات تأتي بعد يوم واحد فقط من إدراج ثغرة CVE-2020-24363 ذات الخطورة العالية (8.8) في موسّع تغطية Wi-Fi من نوع TL-WA855RE ضمن قائمة الثغرات المستغلة، ما يعكس تصاعد وتيرة التهديدات ضد أجهزة TP-Link.
