Cibercriminosos estão explorando uma vulnerabilidade crítica nos roteadores TP-Link, especificamente no modelo TL-WR845N, permitindo o acesso total ao sistema e o controle remoto do dispositivo. A falha se deve à presença de credenciais fracas para acesso ao root shell, possibilitando que invasores manipulem e administrem o roteador sem restrições. A vulnerabilidade afeta as versões de firmware TL-WR845N(UN)_V4_190219, TL-WR845N(UN)_V4_200909 e TL-WR845N(UN)_V4_201214.

Os hackers podem obter essas versões de firmware acessando fisicamente a memória SPI Flash do roteador ou simplesmente baixando-as do site oficial da TP-Link. Com o firmware em mãos, ferramentas como binwalk ou FirmAudit são usadas para extrair arquivos e analisar os dados armazenados. O problema principal está no armazenamento das credenciais do sistema. A senha de root é protegida apenas por um hash MD5 fraco e pode ser encontrada nos arquivos squashfs-root/etc/passwd e squashfs-root/etc/passwd.bak. Usando softwares como hashcat ou John the Ripper, os invasores conseguem facilmente descriptografar a senha, revelada como “1234”. Já o nome de usuário, “admin”, é armazenado em texto simples, tornando o ataque ainda mais trivial.

Para explorar essa vulnerabilidade, os hackers seguem um procedimento simples: obtêm o firmware do roteador, extraem os arquivos com binwalk, localizam os arquivos de senha, utilizam um programa de força bruta para descriptografar o hash MD5 e, por fim, validam as credenciais por meio de uma conexão UART, garantindo acesso irrestrito ao dispositivo. Diante dessa ameaça, os especialistas recomendam que os usuários atualizem o firmware do roteador assim que uma nova versão for disponibilizada, utilizem senhas fortes e únicas, e monitorem regularmente a atividade do dispositivo para identificar possíveis invasões.