Nově zneužívaná zero-day v routerech TP-Link
Společnost TP-Link potvrdila existenci neopravené zero-day zranitelnosti, která dopadá na několik modelů jejích routerů. Zero-day objevil nezávislý výzkumník Mehrun (ByteRay), který uvedl, že ji společnosti poprvé nahlásil 11. května 2025. Čínský gigant v oblasti síťových zařízení potvrdil, že v současné době vyšetřuje míru zneužití i ohrožení touto chybou.
Ačkoliv je údajně vyvinuta oprava pro evropské modely, stále probíhají práce na vývoji oprav pro americké a globální verze firmwaru. Konkrétní termín není zatím znám. Společnost TP-Link je si vědoma nedávno odhalené zranitelnosti, která postihuje určité modely routerů, jak uvedla společnost ByteRay,
uvádí se v prohlášení, které společnost TP-Link Systems Inc. zaslala serveru BleepingComputer.
Bereme tato zjištění vážně… a v současné době pracujeme na přizpůsobení a urychlení aktualizací pro americké a další globální verze. Náš technický tým také podrobně zkoumá nahlášená zjištění, aby potvrdil kritéria a podmínky nasazení, včetně toho, zda je CWMP ve výchozím nastavení povoleno,
dodávají zástupci společnosti.
Společnost všem uživatelům důrazně doporučila aktualizaci na nejnovější firmware, jakmile bude k dispozici, prostřednictvím oficiálních kanálů podpory. Zranitelnost, které zatím nebylo přiděleno CVE-ID, spočívá v buffer overflow v implementaci protokolu CWMP (CPE WAN Management Protocol) společnosti TP-Link na neznámém počtu routerů.
Výzkumník Mehrun, který tuto chybu objevil pomocí automatizované analýzy binárních souborů routerů, vysvětluje, že se nachází ve funkci, která zpracovává zprávy SOAP SetParameterValues. Problém je způsoben nedostatečnou kontrolou mezí ve voláních strncpy, což umožňuje vzdálené spuštění kódu prostřednictvím přetečení vyrovnávací paměti (buffer overflow), když je velikost vyrovnávací paměti větší než 3072 bajtů.
Mehrun říká, že realistickým útokem by bylo přesměrování zranitelných zařízení na škodlivý server CWMP a následné doručení nadměrného SOAP payloadu, aby došlo k přetečení vyrovnávací paměti. Toho lze dosáhnout zneužitím chyb v zastaralém firmwaru nebo přístupem k zařízení pomocí výchozích přihlašovacích údajů, které uživatelé nezměnili.
Jakmile je router napaden prostřednictvím RCE, může být instruován, aby přesměroval DNS dotazy na škodlivé servery, tiše zachytával nebo manipuloval nešifrovaný provoz a vkládal škodlivé payloady do webových relací. Výzkumník testováním také potvrdil, že TP-Link Archer AX10 a Archer AX1500 používají zranitelné binární soubory CWMP. Jde o velmi populární modely routerů, které jsou v současné době k dispozici na několika trzích. Dále poznamenal, že potenciálně jsou ohroženy také modely EX141, Archer VR400, TD-W9970 a možná i několik dalších modelů routerů od TP-Link.
Dokud TP-Link nezjistí, která zařízení jsou zranitelná, a nevydá pro ně opravy, měli by uživatelé změnit výchozí hesla správce, deaktivovat CWMP, pokud není potřeba, a nainstalovat nejnovější aktualizaci firmwaru pro svá zařízení. Pokud je to možné, router by měl být oddělen od kritických sítí.
Americká CISA v minulém týdnu přidala další dvě chyby v TP-Link, sledované jako CVE-2023–50224 a CVE-2025–9377, do katalogu známých zneužitelných zranitelností, které botnet Quad7 využil k napadení routerů. CVE-2023–50224 je chybou obcházení autentizace a CVE-2025–9377 je chybou vkládání příkazů. Když se spojí, umožňují útočníkům vzdálené spuštění kódu na zranitelných zařízeních TP-Link.
Od roku 2023 využívá botnet Quad7 tyto chyby k instalaci vlastního malwaru na routery, které přeměňuje na proxy servery a relé pro přenos dat. V roce 2024 společnost Microsoft zaznamenala, že útočníci používají botnet k provádění útoků password spray na cloudové služby a Microsoft 365 s cílem ukrást přihlašovací údaje.
USA nabízejí 10 milionů za informace o ruských hackerech
Ministerstvo zahraničních věcí Spojených států nabízí odměnu až 10 milionů dolarů za informace o třech důstojnících ruské Federální bezpečnostní služby (FSB), kteří se jménem ruské vlády podíleli na kybernetických útocích zaměřených na organizace kritické infrastruktury USA.
Tito tři muži, Marat Valerjevič Tyukov, Michail Michajlovič Gavrilov a Pavel Aleksandrovič Akulov, jsou členy Centra 16 nebo Vojenské jednotky 71330 FSB, která je sledována pod krycími jmény Berserk Bear, Blue Kraken, Crouching Yeti, Dragonfly a Koala Team.
V březnu 2022 byli tito tři důstojníci FSB také obviněni z účasti na kampani, která se odehrála v letech 2012 až 2017 a byla zaměřena na americké vládní agentury, včetně Komise pro jadernou regulaci, a také na energetické společnosti, jako je Wolf Creek Nuclear Operating Corporation, jež provozuje jadernou elektrárnu v Burlingtonu v Kansasu.
V uplynulém roce zneužili zranitelnost CVE-2018–0171 v síťových zařízeních Cisco, které již dosáhly konce životnosti, k napadení společností v kritických infrastrukturních sektorech USA prostřednictvím vzdáleného spuštění kódu. Společnost Cisco, která poprvé zaznamenala tyto útoky před téměř čtyřmi lety, v listopadu 2021 aktualizovala své doporučení a vyzvala správce sítí a bezpečnostní týmy, aby co nejdříve opravili svá zařízení.
Divize kybernetické bezpečnosti Cisco Talos oznámila, že ruská státem sponzorovaná skupina agresivně zneužívá tuto bezpečnostní zranitelnost k napadení neopravených zařízení patřících telekomunikačním, vysokoškolským a výrobním organizacím v Severní Americe, Evropě, Asii a Africe. Stejná ruská skupina je známá tím, že v uplynulém desetiletí napadala vládní organizace a letecké subjekty na úrovni států, místních samospráv, teritorií a kmenů (SLTT) v USA.
Již v červnu americké ministerstvo zahraničí oznámilo odměnu až 10 milionů dolarů za informace o státem sponzorovaných hackerech spojených s operací infostealeru RedLine a jejím možným tvůrcem, ruským občanem Maximem Alexandrovichem Rudometovem.
Cloudflare zablokoval největší zaznamenaný DDoS útok
Společnost Cloudflare minulý týden oznámila, že nedávno zablokovala největší zaznamenaný volumetrický distribuovaný útok typu denial-of-service (DDoS), který dosáhl špičky 11,5 terabitů za sekundu (Tbps).
Při volumetrických útocích DDoS útočníci zahlcují cíl obrovským množstvím dat, čímž spotřebovávají šířku pásma nebo vyčerpávají systémové zdroje, takže legitimní uživatelé nemají přístup k cílovým serverům a službám. „Obranné systémy Cloudflare pracují na plné obrátky. Během posledních několika týdnů jsme autonomně zablokovali stovky hyperobjemových DDoS útoků, z nichž největší dosáhly špiček 5,1 Bpps a 11,5 Tbps,“ uvedla společnost v úterním tweetu.
Zatímco Cloudflare původně uvedlo, že útok typu UDP flood o síle 11,5 Tbps trval přibližně 35 sekund a pocházel především z Google Cloud, společnost později vydala opravu, ve které uvedla, že „útok ve skutečnosti pocházel z kombinace několika poskytovatelů IoT a cloudových služeb“.
K tomuto incidentu došlo dva měsíce poté, co společnost Cloudflare oznámila další rekordní DDoS útok o síle 7,3 Tbps, který v červnu cílil na nejmenovaného poskytovatele hostingu. Předchozí rekord činil 3,8 Tbps a dvě miliardy paketů za sekundu (pps) v útoku, který společnost Cloudflare rovněž zablokovala v říjnu 2024.
Microsoft také zmírnil volumetrický DDoS útok o síle 3,47 Tbps v lednu 2022, kdy útočníci zaútočili na zákazníka Azure z Asie. Další masivní DDoS útok v červenci 2024 vyřadil a narušil několik služeb Microsoft 365 a Azure po celém světě.
V dubnu společnost Cloudflare ve své zprávě o DDoS útocích za první čtvrtletí roku 2025 také odhalila, že v roce 2024 zmírnila rekordní počet DDoS útoků, a to s mezičtvrtletním nárůstem o 198 % a meziročním nárůstem o neuvěřitelných 358 %. Jak společnost uvedla, v loňském roce zmírnila celkem 21,3 milionu DDoS útoků, které byly namířeny proti zákazníkům Cloudflare, a také proti vlastní infrastruktuře v 6,6 milionu útoků během 18denní multivektorové kampaně.
Nejvýraznější nárůst byl zaznamenán u útoků na síťové vrstvě, které také zaznamenaly nejstrmější růst od začátku roku 2025 a dosáhly meziročního nárůstu o 509 %.
Útočníci zneužívají Grok AI k šíření škodlivých odkazů
Útočníci využívají Grok, vestavěného asistenta umělé inteligence platformy X, k obcházení omezení zveřejňování odkazů, která platforma zavedla za účelem omezení škodlivé reklamy.
Jak zjistil výzkumník Guardio Labs Nati Tal, útočníci často provozují pochybné videoreklamy obsahující tematiku s obsahem pro dospělé a vyhýbají se zahrnutí odkazu do hlavního textu, aby se vyhnuli blokování platformou X. Místo toho jej skrývají v malém poli metadat „Od:“ pod videokartou, které sociální platforma zjevně nekontroluje.
Poté (pravděpodobně) stejní aktéři požádají Groka prostřednictvím odpovědi na inzerát o něco ohledně příspěvku, například „odkud je toto video“ nebo „jaký je odkaz na toto video“. Grok analyzuje skryté pole „Od:“ a odpoví úplným škodlivým odkazem v klikatelném formátu, což uživatelům umožní jej otevřít a přejít přímo na škodlivý web.
A protože je Grok automaticky důvěryhodným systémovým účtem na platformě X, jeho příspěvek zvyšuje důvěryhodnost, dosah, SEO a reputaci odkazu, čímž se zvyšuje pravděpodobnost, že bude vysílán velkému počtu uživatelů.
Nati Tal zjistil, že mnoho z těchto odkazů prochází pochybnými reklamními sítěmi, což vede k podvodům, jako jsou falešné CAPTCHA testy, malware ke krádeži informací a další škodlivé payloady. Místo toho, aby byly blokovány platformou X, jsou uživatelům na platformě propagovány prostřednictvím škodlivých reklam, které získávají další podporu od Groku.
Tal nazývá techniku využívání této mezery „Grokking“ a poznamenává, že je velmi účinná. V některých případech zesiluje škodlivé reklamy tak, že dosahují milionů zobrazení. Mezi možná řešení patří skenování všech polí, blokování skrytých odkazů a přidání kontextové sanitizace do Groku, aby AI asistent jen slepě neopakoval odkazy, když o to uživatelé požádají, ale místo toho je filtroval a kontroloval podle blokovacích seznamů.
Tal potvrdil, že kontaktoval společnost X s nahlášením tohoto problému a obdržel neoficiální potvrzení, že inženýři Groku tuto zprávu přijali.
Amazon narušil aktivity APT29 zaměřené na Microsoft 365
Skupina APT29 napadla webové stránky v rámci kampaně watering hole s cílem přesměrovat vybrané cíle „na škodlivou infrastrukturu navrženou tak, aby podvedla uživatele a přiměla je autorizovat zařízení ovládaná útočníky prostřednictvím ověřování kódu zařízení společnosti Microsoft“.
Midnight Blizzard je spojována s ruskou zahraniční zpravodajskou službou (SVR) a je známá svými chytrými phishingovými metodami, které nedávno zasáhly evropské ambasády, společnost Hewlett Packard Enterprise a TeamViewer.
Tým Amazonu zabývající se analýzou hrozeb objevil doménová jména použitá v kampani poté, co vytvořil analytický nástroj pro infrastrukturu APT29. Vyšetřování odhalilo, že hackeři napadli několik legitimních webových stránek a zamaskovali škodlivý kód pomocí kódování base64. Pomocí randomizace přesměrovala skupina APT29 přibližně 10 % návštěvníků napadených webových stránek na domény, které napodobují ověřovací stránky Cloudflare, jako například findcloudflare.com nebo cloudflare.redirectpartners.com.
Jak Amazon vysvětluje ve svém reportu, útočníci použili systém založený na souborech cookie, aby zabránili opakovanému přesměrování stejného uživatele a snížili tak podezření. Oběti, které se dostaly na falešné stránky Cloudflare, byly přesměrovány na škodlivý proces ověřování kódu zařízení Microsoft, jehož cílem bylo přimět je k autorizaci zařízení ovládaných útočníky.
Amazon uvádí, že jakmile byla kampaň odhalena, jeho výzkumníci izolovali instance EC2, které útočník používal, a ve spolupráci s Cloudflare a Microsoftem zablokovali identifikované domény. Výzkumníci zjistili, že APT29 se pokusila přesunout svou infrastrukturu k jinému poskytovateli cloudových služeb a zaregistrovala nové doménové názvy (např. cloudflare.redirectpartners.com). CJ Moses, ředitel informační bezpečnosti společnosti Amazon, uvedl, že výzkumníci pokračovali ve sledování pohybu útočníka a jeho snahu zmařili.
Amazon zdůrazňuje, že tato nejnovější kampaň odráží vývoj APT29 za stejným účelem, tj. shromažďování přihlašovacích údajů a zpravodajských informací. Došlo však ke „zdokonalení jejich technického přístupu“, který se již nespoléhá na domény napodobující AWS ani na pokusy o sociální inženýrství s cílem obejít vícefaktorové ověřování (MFA) tím, že se cíle podvodem přimějí k vytvoření hesel specifických pro danou aplikaci.
Uživatelům se doporučuje ověřovat žádosti o autorizaci zařízení, povolit vícefaktorové ověřování (MFA) a vyhýbat se provádění příkazů ve svém systému, které jsou zkopírovány z webových stránek. Správci by měli zvážit deaktivaci zbytečných chyb v autorizaci zařízení, kde je to možné, prosazovat zásady podmíněného přístupu a pečlivě sledovat podezřelé události související s ověřováním.
Společnost Amazon zdůraznila, že tato kampaň APT29 neohrozila její infrastrukturu ani neměla dopad na její služby.
Ve zkratce
- Microsoft: nedávné aktualizace systému Windows způsobují problémy s instalací aplikací
- Android: Google opravil 120 chyb, včetně dvou zero-day
- Íránští hackeři zneužili více než 100 e-mailových účtů velvyslanectví
- Skupina Lazarus rozšiřuje své zbraně o PondRAT, ThemeForestRAT a RemotePE
- Kritická chyba zabezpečení SAP S/4HANA CVE-2025–42957 zneužita
- APT28 nasazuje backdoor pro Outlook proti společnostem v zemích NATO
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
