Názory k článku
Kritická zranitelnost routerů TP-Link umožňuje vzdálené spuštění kódu

Zdravím, chtěl bych se zeptat zda-li se to týká i routerů s alternativním FW (openwrt) ?

5. 9. 2025, 12:03 editováno autorem komentáře

Podle mě jde o validní dotaz, já bych ho ale přeci jen osobně postavil jinak: budu předpokládat, že ty routery jsou tak jako tak něco postavené na nějakém řekněme ořezaném linuxu. Pak je imho validní se ptát, jestli za tu zranitelnost může implementace TP-Linku, nebo to, co TP-Link vzal jako základ, tedy ten linux, a jestli už je to v něm (a od kdy) opravené (resp. do kdy je to neopravené). Pak by mohlo být možné se dobrat i tomu, zda se to týká některých verzí OpenWrt a kterých.
Bohužel mám poslední dobou pocit, že různé CVE a podobné informace slouží jen k tomu, aby se řeklo "tady je díra", ale už se neuvedly detaily, kolikrát ani nějaký podrobnější princip, jak ke zneužití dojít (nemusí jít rovnou o PoC kód). Protože podle mě jen tak si může člověk kvalifikovaně (je-li toho s ohledem na své znalosti problematiky schopen) zhodnotit, jaké je to riziko konkrétně pro něj. Reálný výsledek takovéto mizerné práce je jen to, že všichni z boží vůle bezpečáci vyhlásí red alert při každém prdu a pos**te se.

V momentalnom stave mozeme byt radi, ze vobec nejake CVE mame. MITRE je dost v prdeli, okolo februara doslo k uplnemu zastaveniu financovania a netusim, aka je situacia dnes. Navyse sa ukazuje, ze kvalita niektorych informacii v databaze je nedostatocna, takze automaticke spracovavanie je problematicke.

Co bude dost problem, ked naskoci CRA.

na CRA máme ještě dva roky čas, bohužel.

Dnes jsi v zajetí velkých dodavatelů, kteří si udržují a staví vlastní databázi, což ale kvalitou je pořád šílené.

Samozřejmě se omlouvám, že jsem to napsal jako tatar, ale věřím, že většina lidí pochopila co jsem měl na mysli. Přiznám se, že jsem ty CVE četl, ale moc mi to (jako laikovi) neřekne. Ideální informace by byla: Na routeru XYZ je chyba v ovladači XXX, aktualizujte firmware na V10, tato chyba se může promítnout i na ostatní FW, nebo chyba je pouze u origo FW od TP-link...

Ve většině případů to bude prostě stará verze softwaru. Mám tu TP link TD-W8980B zhruba z roku 2013, ke kterýmu je dokonce SDK zdroják. Blbý je, že kernel to má 2.6.32. Openwrt to pak umí updatovat na poslední nebo předposlední LTS kernel.

Taky zalezi od platformy. Novejsi release OpenWRT posouvaji limity, co se velikosti flash a RAM tyce. Takze u starsich krabicek clovek skonci na tom, ze aktualni build uz neexistuje. Nerikam, ze je to spatne, kazde zarizeni ma svuj zivotni cyklus a udrzovat do nekonecna pri zivote krabicku v cene par stovek nedava smysl, nekdy je proste lepsi to vyhodit a koupit neco noveho (i kdyz tam muze byt z druhe strany prozmenu past v tom, ze build pro OpenWRT zatim jeste neni, zrovna u tech TP-Linku je to dost i o revizi konkretniho typu).

Zařízení založená na MT7621 (typicky 16 MB flash/128 MB RAM - např. TP-Link C6 nebo C6U) budou bych řekl ze strany OpenWRT podporovány ještě dlouho. A to je to chipset původem z roku 2013.

Zatim neni problem ani se zarizenimi 8/64. Narazel jsem primarne na kombinaci 4/32, kde uz ten konec byl diky rostoucim narokum navzdory minimalismu nevyhnutelny. Takze ano, stareho TPLinka (neco na bazi WR841) u tchyne jsem hodil do kose :-) Protoze holt uz do te kategorie spadnul... byt co se HW by to tamnim potrebam asi i stacilo. Ale nemam rad v ostrem provozu veci, kde uz neni mozny update...

Mě daleko více mrzí situace, že můj poskytovatel internetu běžně nabízel Archer C7 domácnostem, u kterých dělal přípojku, nebo nějaké dodatečné nastavení, včetně toho že router byl nastaven poskytovatelem na vzdálenou správu (té se týká tato zranitelnost) a přesto jsem nikde nezaznamenal informaci, nebo varování, že tu tahle chyba je. C7 jsem naštěstí na začátku roku vyměnil za novější.

Vůbec oni mají bídný updaty a cíleně aby víc vydělali a umožnili čínské šmírování.

Jakoze americka (kalifornska) firma zamerne umoznuje cinske smirovani? To je hodne bujna konspiracni teorie... :) Ono je to spis odraz toho, ze chteji delat levne krabicky... coz ale znamena, ze nemate uz tolik penez na vyvojare, ktere z neceho zaplatit musite. Aneb lidi mozna brblaj, ze ceska Omnia je "draha", ale proc... inu proto, ze nejvic penez stoji lidi, co to udrzuji v nejakem rozumnem stavu (a ve finale z toho tezi i OpenWRT).

Záleží, jestli je tvůj model "Tplink systems inc" nebo "tplink technologies co ltd". Ale sledovat tě může ledacos, je docela jedno odkud to zařízení je.