พบช่องโหว่แบบ backdoor ในเราท์เตอร์ TP-Link TL-WDR4300 และ TL-WR743ND มีช่องโหวทำให้สร้าง URL ที่สั่งให้เราท์เตอร์ดาวน์โหลดไฟล์ทาง TFTP ขึ้นมาเพื่อรันในสิทธิ root

บั๊กนี้มีผลให้แฮกเกอร์แม้อยู่ภายนอกก็สามารถโจมตีเราท์เตอร์ได้หากเปิดพอร์ต HTTP บนขา WAN เอาไว้ และแม้จะปิดพอร์ตบนขา WAN ก็ยังมีความเสี่ยงบ้างที่แฮกเกอร์จะอาศัยช่องโหว่ CSRF เพื่อเปิดช่องโหว่นี้ขึ้นมาได้ (แต่จะอัพโหลด TFTP ต้องใช้ช่องโหว่อื่น)

ปัญหานี้ถูกแจกไปยังทาง TP-Link เมื่อวันที่ 12 กุมภาพันธ์ที่ผ่านมา จนกระทั่งเมื่อครบ 30 วันหลังการแจ้งแล้วไม่มีการตอบกลับ ทีมงานจึงเปิดเผยปัญหาสู่สาธารณะ

ที่มา - Sekurak