Teipeanna criticiúla i ródairí fiontar agus brú rialála méadaitheach os comhair TP-Link

Ródairí gairmiúla ó Sraitheanna VPN Omada agus Festa de chuid TP-Link Tá dhá leochaileacht ard-déine nochtaithe dóibh a d’fhéadfadh ligean d’ionsaitheoir smacht a fháil ar an bhfeiste. Tagann an rabhadh i dtuarascáil theicniúil ó Forescout Research – Vedere Labs, a mholann go gcuirfí na paistí riachtanacha i bhfeidhm láithreach. nuashonruithe firmware eisithe cheana féin ag TP-Link.

Tagann an fhionnachtain seo ag am polaitiúil teannasach: tacaíonn roinnt gníomhaireachtaí feidearálacha SAM le gluaiseacht fhéideartha ón Roinn Tráchtála chun díolacháin táirgí TP-Link amach anseo a shrianadh ar chúiseanna slándála náisiúnta. Séanann an chuideachta, dá cuid féin, aon nasc oibríochtúil leis an tSín agus maíonn sí go bhfuil a fochuideachtaí sna Stáit Aontaithe... Níl siad faoi réir threoirlínte faisnéise de thír na hÁise.

Cad go díreach a aimsíodh

La an chéad leochaileacht, aitheanta mar CVE-2025-7850, Ceadaíonn sé instealladh orduithe córais oibriúcháin mar gheall ar easpa sláintíochta ar ionchur úsáideora.Le scór déine de 9,3, i gcásanna áirithe D’fhéadfaí é a shaothrú fiú gan dintiúir..

El an dara rialú, CVE-2025-7851 (scór 8,7), Nochtann sé feidhmiúlacht dífhabhtaithe iarmharach a chuireann rochtain fréimhe ar fáil trí SSHGo praiticiúil, an bealach i bhfolach sin d’fhéadfadh deontas a thabhairt smacht iomlán ar an ródaire d’ionsaitheoir a éiríonn leis leas a bhaint as.

De réir Forescout, bíonn tionchar ag leochaileachtaí ar Trealamh TP-Link Omada agus ródairí Festa VPNIs gnách go mbíonn na gléasanna seo i measc FBManna, oifigí dáilte, agus imscaradh líonraí corparáideacha. Sa Spáinn agus san AE, úsáidtear iad go minic le haghaidh rochtain iargúlta agus deighilt láithreáinDá bhrí sin, leathnaíonn an tionchar féideartha chuig líonraí gnó agus timpeallachtaí criticiúla.

Riosca praiticiúil: an méid atá ar eolas agus na paistí atá ar fáil faoi láthair

Léiríonn na taighdeoirí go Níl aon fhianaise phoiblí ann maidir le saothrú gníomhach de na dhá locht seo tráth na tuarascála. Mar sin féin, bhí trealamh TP-Link ina sprioc roimhe seo ag botnets mórscála, amhail Quad7, agus ag grúpaí a bhfuil baint acu leis an tSín a bhfuil rinne siad ionsaithe spraeála pasfhocail i gcoinne cuntais Microsoft 365, i measc feachtas eile.

Molann Forescout agus TP-Link nuashonrú a dhéanamh láithreach chuig na leaganacha firmware foilsithe chun na fabhtanna a shocrú.Tar éis an nuashonraithe, iarrann TP-Link ort do phasfhocail riarthóra a athrú. Ina theannta sin, moltar bearta srianta a chur i bhfeidhm chun dromchla ionsaithe a laghdú:

• Díchumasaigh rochtain iargúlta don riarachán mura bhfuil sé riachtanach agus srian a chur air le liostaí rialaithe rochtana (ACLanna) nó VPN.
• Rothlaigh dintiúir agus eochracha SSH, Agus úsáideoirí cumasaithe athbhreithnithe ar an bhfeiste.
• Trácht bainistíochta a dheighilt i VLAN tiomnaithe agus Teorainnigh SSH do IPanna iontaofa amháin.
• Monatóireacht a dhéanamh ar logaí córais agus foláirimh ionraidh a ghníomhachtú ar an imlíne.

I gcomhthéacs na hEorpa, tá na gníomhartha seo ag teacht le héilimh bainistíocht paiste agus rialú rochtana lena n-áirítear creatlacha amhail NIS2 agus na dea-chleachtais a mholann eagraíochtaí amhail INCIBE nó CCN-CERT.

Cé gur le linn a imscrúdaithe, Maíonn Forescout gur aimsigh siad lochtanna breise i gcomhordú le saotharlanna TP-Link.Cuid acu le cumas saothraithe iargúlta. Níor nochtadh sonraí teicniúla, ach Táthar ag súil go scaoilfidh TP-Link réitigh do na fadhbanna seo. i rith chéad ráithe 2026.

Brú rialála sna Stáit Aontaithe agus a fo-iarsmaí san Eoraip

Maíonn foinsí a luaigh meáin sna Stáit Aontaithe go bhfuil a próiseas idirghníomhaireachta, lena mbaineann Dlí agus Cirt, Slándáil Náisiúnta agus CosaintAn samhradh seo, rinne sé staidéar ar phlean chun cosc a chur ar dhíolacháin nua TP-Link sa tírTá na hábhair imní dírithe ar an bhféidearthacht tionchair dhlíthiúla Bhéising agus an fhéidearthacht go ndéanfar nuashonruithe mailíseacha. Diúltaíonn TP-Link do na hamhrais seo agus leagann siad béim ar an bhfíric nach bhfuil cinneadh foirmiúil déanta ag aon údarás SAM ná ag an Teach Bán faoin ábhar.

Cé go bhfuil an díospóireacht den chuid is mó intíre sna Stáit Aontaithe, D’fhéadfaí a éifeachtaí a bhraith san EoraipÓ chritéir soláthair phoiblí agus measúnuithe riosca ar an slabhra soláthair go beartais chomhchoibhneasaithe agus tacaíochta. I gcás eagraíochtaí a bhfuil láithreacht thrasatlantach acu, Is inmholta cothabháil a dhéanamh ar staidiúir airdeallais y polasaí athsholáthair pleanáilte más gá.

Cad ba cheart d’eagraíochtaí sa Spáinn agus san AE a dhéanamh?

Chomh maith le paistí a chur i bhfeidhm agus pointí rochtana a chruasú, moltar a dhéanamh fardal iomlán sócmhainní líonra (lena n-áirítear ródairí agus geataí), leaganacha firmware a fhíorú, agus eisceachtaí sealadacha a dhoiciméadú. I gcás FBManna a bhfuil níos lú acmhainní acu, bí ag brath ar a gcuid Soláthraí TF nó MSP chun cumraíochtaí agus deighilt shlána a bhailíochtú.

• Athbhreithniú ar nochtadh idirlín le scananna de seirbhísí oscailte.
• Polasaí cúltaca an cumraíocht an ródaire agus plean aisiompaithe.
• Logáil athraithe agus tástálacha rialaithe i ndiaidh gach nuashonraithe.

Le lochtanna aitheanta cheana féin, paistí ar fáil, agus díospóireacht rialála ag dul i méid, Is é an tosaíocht ná ceartú, neartú agus monatóireacht a dhéanamh seachas scaoll a chur ort féin.Is céimeanna iad nuashonrú firmware, athrú pasfhocal, dúnadh rochtana neamhriachtanaí, agus monatóireacht a dhéanamh ar ghníomhaíocht neamhghnách a chuirtear i bhfeidhm inniu, laghdú go mór an riosca i líonraí gnó agus baile chun cinn.