CyberS3c, Cybersecurity Artisans
CVE-2026-5363 Média · 5.4

Chave criptográfica fraca no TP-Link Archer C7

Investigação de Sérgio Silva (CyberS3c)

Resumo

Durante a investigação ao firmware do router TP-Link Archer C7, a equipa da CyberS3c identificou que a interface de gestão web cifra a palavra-passe de administrador com uma chave RSA de apenas 1024 bits antes de a enviar no processo de autenticação. O uso de uma chave abaixo da força criptográfica recomendada (CWE-326) permite a um atacante na rede adjacente recuperar as credenciais em texto claro.

Detalhe técnico

O módulo uhttpd responsável pela interface web gera e utiliza um par de chaves RSA-1024 para cifrar a palavra-passe do administrador no lado do cliente, ainda antes do login ser concluído. O RSA-1024 é hoje considerado insuficiente: a dimensão do módulo torna-o vulnerável a ataques de fatorização por adversários com recursos moderados.

Como a cifra acontece antes da autenticação e sobre um canal observável, um atacante posicionado na rede adjacente (por exemplo, na mesma rede Wi-Fi ou segmento local) consegue:

  1. Intercetar o material cifrado trocado durante a tentativa de login;
  2. Atacar a chave fraca através de fatorização/criptanálise do módulo RSA-1024;
  3. Recuperar a palavra-passe de administrador em texto claro.

Impacto

Com as credenciais recuperadas, o atacante obtém acesso não autorizado à administração do router, o que lhe permite alterar configurações, redirecionar tráfego (DNS/rotas), abrir a rede a acessos externos ou usar o equipamento como ponto de apoio para movimentação lateral. O vetor exige proximidade de rede, o que limita o alcance, mas o impacto sobre um equipamento de fronteira é significativo.

  • Severidade: Média · CVSS v4.0 5.4
  • Classe: CWE-326 (força de cifra inadequada)
  • Pré-requisito: acesso à rede adjacente

Versões afetadas

  • TP-Link Archer C7 v5 e v5.8, módulos uhttpd até à Build 20220715.

Mitigação

  • Atualizar para uma versão de firmware que utilize chaves de dimensão adequada (RSA-2048 ou superior), assim que disponibilizada pelo fornecedor;
  • Restringir o acesso à interface de gestão a redes de confiança e segmentar a rede de administração;
  • Usar palavras-passe fortes e únicas e, sempre que possível, desativar a gestão remota.

A vulnerabilidade foi descoberta pela equipa de investigação da CyberS3c e comunicada de forma responsável. A cronologia completa da divulgação está abaixo.

Cronologia da divulgação

  1. 28 de março de 2026

    Comunicação inicial à TP-Link

    • Sérgio Silva (CyberS3c) submeteu um relatório técnico sobre o Archer C7 v5 (firmware V5.0 Build 20220715).
    • Fragilidade no mecanismo de autenticação da interface web: RSA-1024 a cifrar a palavra-passe de administrador, chave pública acessível sem autenticação e login por HTTP por defeito.
    • Possibilidade de captura e desencriptação offline da palavra-passe. Classificação proposta: CWE-326; CVSS 3.1 de 7.5 (High).
    • Incluída prova de conceito e recomendações; pedido de atribuição de CVE e divulgação coordenada a 90 dias.
  2. 30 de março de 2026

    Rejeição inicial pela TP-Link

    • A TP-Link recusou atribuir um CVE ou publicar um aviso de segurança.
    • Justificação: Archer C7 v5 em fim de vida desde 2020, RSA-1024 como arquitetura legada, impacto limitado a produto descontinuado e sem atualização possível.
    • Declarou o assunto encerrado, enquanto CNA responsável pelo produto.
  3. 30 de março de 2026

    Contestação da decisão

    • O fim de suporte não foi 2020 em todos os mercados: EUA 21/04/2020; Japão, Rússia e Taiwan 29/06/2022; UE, Canadá e Coreia 17/05/2023.
    • A TP-Link publicou atualizações de segurança após o fim de suporte nos EUA (até novembro de 2022).
    • A revisão v5.8 manteve-se suportada até maio de 2024 e partilha a arquitetura de autenticação afetada.
    • A atribuição de um CVE não depende de suporte ativo, o programa CVE também documenta produtos descontinuados.
    • Caso a recusa se mantivesse, o CVE seria solicitado diretamente à MITRE.
  4. 15 de abril de 2026

    Reavaliação e aceitação pela TP-Link

    • Reservado o identificador CVE-2026-5363, a publicar com o estado "unsupported when assigned".
    • Sérgio Silva identificado como descobridor da vulnerabilidade.
    • A TP-Link reconheceu que o fim de vida não impede necessariamente atualizações de segurança, decididas caso a caso.