TP-Link vừa phát hành cảnh báo về một botnet đang khai thác hai lỗ hổng bảo mật trên các dòng router gia đình/văn phòng nhỏ (SOHO router), từ đó biến thiết bị thành công cụ tấn công tài khoản Microsoft 365.
Các lỗ hổng ảnh hưởng trực tiếp đến dòng Archer C7 và TL-WR841N/ND, đồng thời nhiều model khác cũng có khả năng chịu rủi ro. Dù các thiết bị này đã chính thức hết vòng đời hỗ trợ (End of Life – EOL), TP-Link vẫn khẩn cấp tung bản vá firmware nhằm khắc phục.
Đáng lưu ý, một số nhà cung cấp dịch vụ Internet (ISP) từng phân phối lại các router TP-Link này dưới thương hiệu riêng, đặc biệt tại thị trường châu Âu và Bắc Mỹ. Ví dụ, ISP Ziggo (Hà Lan) từng đổi tên Archer C7 thành “Wifibooster Ziggo C7”, cài firmware riêng và cung cấp cho khách hàng.
Hai lỗ hổng được khai thác
-
CVE-2025-50224: cho phép kẻ tấn công đánh cắp mật khẩu quản trị từ router.
-
CVE-2025-9377: lỗ hổng RCE (Remote Code Execution) qua lệnh chèn trong tính năng Parental Control, cho phép kẻ tấn công thực thi mã độc từ xa.
Khi kết hợp, hai lỗ hổng này cho phép đưa router vào mạng botnet có tên Quad7 (hay 7777). Botnet này sau đó được sử dụng để tiến hành password spraying attacks nhằm chiếm đoạt tài khoản Microsoft 365.
Password spraying là kỹ thuật thử nhiều mật khẩu phổ biến trên một hoặc nhiều tài khoản để khai thác sự lặp lại hoặc độ yếu của mật khẩu.
Microsoft từng cảnh báo về botnet này trong năm ngoái nhưng chưa xác định được lỗ hổng gốc. Hiện nay, việc phát hiện và ngăn chặn vẫn gặp khó khăn vì botnet tận dụng hàng nghìn địa chỉ IP từ người dùng cá nhân và doanh nghiệp nhỏ.
TP-Link khuyến nghị mạnh mẽ người dùng cài đặt firmware mới hoặc thay thế bằng model router còn được hỗ trợ. Cơ quan An ninh mạng & Hạ tầng Hoa Kỳ (CISA) cũng đã phát hành khuyến cáo chính thức về hai lỗ hổng nói trên.
Khuyến nghị cho người dùng router TP-Link
-
Kiểm tra thiết bị đang sử dụng có phải Archer C7, TL-WR841N/ND hoặc model TP-Link đời cũ khác không. Nếu có, hãy ngay lập tức cập nhật firmware mới nhất từ TP-Link.
-
Nếu thiết bị không còn bản vá hoặc đã ngừng hỗ trợ, hãy cân nhắc nâng cấp lên router mới, được cập nhật bảo mật thường xuyên.
-
Đặt mật khẩu quản trị mạnh, duy nhất, tránh trùng với mật khẩu dịch vụ khác.
-
Tắt tính năng quản trị từ xa (Remote Management) nếu không thực sự cần thiết. Đảm bảo trang quản trị và tính năng Parental Control chỉ truy cập được sau khi xác thực.
Khuyến nghị cho người dùng Microsoft 365
-
Sử dụng mật khẩu mạnh và duy nhất, tránh các mật khẩu phổ biến hoặc dễ đoán.
-
Kích hoạt xác thực đa yếu tố (MFA) để bổ sung lớp bảo vệ thứ hai, giảm thiểu rủi ro khi mật khẩu bị lộ.
-
Theo dõi cảnh báo đăng nhập bất thường và thường xuyên kiểm tra nhật ký đăng nhập.
-
Nếu nghi ngờ tài khoản bị nhắm mục tiêu, hãy đổi mật khẩu ngay lập tức và tiến hành kiểm tra bảo mật (Security Checkup).
Lời kết từ chuyên gia bảo mật
Sự kiện này một lần nữa cho thấy:
-
Không bao giờ được chủ quan với thiết bị EOL – chúng có thể trở thành cửa hậu cho hacker.
-
Các botnet hiện đại ngày càng tận dụng tài nguyên phân tán, gây khó khăn cho khâu phát hiện.
-
Xác thực mạnh và cập nhật kịp thời là hai biện pháp cốt lõi giúp giảm thiểu nguy cơ từ những chiến dịch tấn công tự động quy mô lớn.
Đừng chờ đến khi router hay tài khoản Microsoft 365 của bạn trở thành một “mắt xích” trong hạ tầng tấn công của tin tặc. Chủ động vá lỗi, tăng cường phòng thủ chính là bước đi bắt buộc để giữ vững an toàn thông tin trong môi trường số.
