মার্কিন যুক্তরাষ্ট্রের সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) গত বুধবার টিপি-লিঙ্কের ওয়্যারলেস রাউটারগুলোতে দুটি নিরাপত্তা ত্রুটি তার ‘নোন এক্সপ্লয়েটেড ভালনারেবিলিটিস’ (কে ইভি) ক্যাটালগে যুক্ত করে, যাতে বলা হয়েছে যে এগুলো বাস্তবে শোষিত হচ্ছে বলে প্রমাণ পাওয়া গেছে। বাংলাদেশের মতো দেশে, যেখানে সস্তা চাইনিজ রাউটারগুলো অনেকের বাড়ি-অফিসে ব্যবহৃত হয়, এই খবরটা বিশেষভাবে উদ্বেগজনক—কারণ এতে হ্যাকাররা সহজেই নেটওয়ার্কে ঢুকে ডেটা চুরি করতে পারে, যেন আমাদের ঘরের দরজা খোলা রেখে চোর ঢোকার মতো। এই ত্রুটিগুলোর কারণে ফেডারেল সিভিলিয়ান এক্সিকিউটিভ ব্রাঞ্চ (এফসিইবি) এজেন্সিগুলোকে ২৪ সেপ্টেম্বর ২০২৫-এর মধ্যে প্রয়োজনীয় সুরক্ষা ব্যবস্থা নিতে বলা হয়েছে, যাতে তাদের নেটওয়ার্ক নিরাপদ থাকে।
প্রশ্নের মূল ত্রুটিগুলো নিম্নরূপ—
- সিভিই-২০২৩-৫০২২৪ (সিভিএসএস স্কোর: ৬.৫): টিপি-লিঙ্ক টিএল-ডব্লিউআর৮৪১এন-এর এইচটিটিপিডি সার্ভিসে স্পুফিংয়ের মাধ্যমে অথেনটিকেশন বাইপাস ত্রুটি, যা ডিফল্টভাবে টিসিপি পোর্ট ৮০-এ শোনে এবং “/টিএমপি/ড্রপবিয়ার/ড্রপবিয়ারপিডব্লিউডি”-এ সংরক্ষিত ক্রেডেনশিয়ালস প্রকাশ করে।
- সিভিই-২০২৫-৯৩৭৭ (সিভিএসএস স্কোর: ৮.৬): টিপি-লিঙ্ক আর্চার সি৭(ইইউ) ভি২ এবং টিএল-ডব্লিউআর৮৪১এন/এনডি(এমএস) ভি৯-এ অপারেটিং সিস্টেম কমান্ড ইনজেকশন ত্রুটি, যা রিমোট কোড এক্সিকিউশন ঘটাতে পারে।
কোম্পানির ওয়েবসাইটে উল্লেখ অনুসারে, নিম্নলিখিত রাউটার মডেলগুলো এন্ড-অফ-লাইফ (ইওএল) স্ট্যাটাসে পৌঁছে গেছে—
- টিএল-ডব্লিউআর৮৪১এন (ভার্সন ১০.০ এবং ১১.০)
- টিএল-ডব্লিউআর৮৪১এনডি (ভার্সন ১০.০)
- আর্চার সি৭ (ভার্সন ২.০ এবং ৩.০)
তবে, টিপি-লিঙ্ক নভেম্বর ২০২৪-এ এই দুটি ত্রুটির জন্য ফার্মওয়্যার আপডেট ছেড়েছে, কারণ ম্যালিশিয়াস শোষণের কার্যকলাপ চলছে। “প্রভাবিত প্রোডাক্টগুলো তাদের এন্ড-অফ-সার্ভিস (ইওএস) পৌঁছে গেছে এবং আর কোনো অ্যাকটিভ সাপোর্ট পাচ্ছে না, যার মধ্যে নিরাপত্তা আপডেটও অন্তর্ভুক্ত,” কোম্পানি বলেছে। “উন্নত সুরক্ষার জন্য, আমরা গ্রাহকদেরকে নতুন হার্ডওয়্যারে আপগ্রেড করার পরামর্শ দিচ্ছি, যাতে অপটিমাল পারফরম্যান্স এবং সিকিউরিটি নিশ্চিত হয়।” বাংলাদেশে অনেকে এখনও পুরনো টিপি-লিঙ্ক রাউটার ব্যবহার করেন, কিন্তু এই ত্রুটিগুলোর কারণে ব্যাঙ্কিং অ্যাপ বা অনলাইন শপিংয়ের সময় ডেটা চুরির ঝুঁকি বাড়ে—যেন ঘরের লক ভাঙা সহজ হয়ে যায়।
উল্লেখিত ত্রুটিগুলোর শোষণের কোনো পাবলিক রিপোর্ট নেই, কিন্তু টিপি-লিঙ্ক গত সপ্তাহে আপডেট করা একটি অ্যাডভাইজরিতে বলেছে যে বাস্তব কার্যকলাপটি কোয়াড৭ (যাকে কভার্টনেটওয়ার্ক-১৬৫৮ বলা হয়) নামক একটি বটনেটের সাথে যুক্ত, যা চীন-সংযুক্ত থ্রেট অ্যাক্টর স্টর্ম-০৯৪০ দ্বারা ব্যবহৃত হয়েছে হাইলি ইভেসিভ পাসওয়ার্ড স্প্রে অ্যাটাক চালানোর জন্য। এই বটনেটটি টিপি-লিঙ্ক রাউটারগুলোকে লক্ষ্য করে, যা আমাদের মতো দেশে সাধারণ—এতে হ্যাকাররা সহজেই লগইন পাসওয়ার্ড চুরি করে নেটওয়ার্কে ঢোকে।
সক্রিয় শোষণের আলোকে, ফেডারেল সিভিলিয়ান এক্সিকিউটিভ ব্রাঞ্চ (এফসিইবি) এজেন্সিগুলোকে ২৪ সেপ্টেম্বর ২০২৫-এর মধ্যে প্রয়োজনীয় মিটিগেশন প্রয়োগ করতে বলা হচ্ছে, যাতে তাদের নেটওয়ার্ক সুরক্ষিত হয়। এই ডেভেলপমেন্টটি সিআইএসএ-এর একদিন আগে আরেকটি হাই-সেভিয়ারিটি নিরাপত্তা ত্রুটি যুক্ত করার পর এসেছে, যা টিপি-লিঙ্ক টিএল-ডব্লিউএ৮৫৫আরই ওয়াই-ফাই রেঞ্জার এক্সটেন্ডার প্রোডাক্টগুলোকে প্রভাবিত করে (সিভিই-২০২০-২৪৩৬৩, সিভিএসএস স্কোর: ৮.৮), যাতে সক্রিয় শোষণের প্রমাণ উল্লেখ করা হয়েছে। এই ত্রুটিটি মিসিং অথেনটিকেশনের কারণে রিমোট অ্যাটাকারদের ফ্যাক্টরি রিসেট করে অ্যাডমিন পাসওয়ার্ড সেট করতে দেয়, যা বাংলাদেশের স্মল অফিস বা হোম নেটওয়ার্কে বিশেষ ঝুঁকি তৈরি করে। ব্যবহারকারীরা ফার্মওয়্যার আপডেট করে বা নতুন ডিভাইসে সুইচ করে নিজেদের রক্ষা করতে পারেন, যাতে হ্যাকারদের এই ‘পিছনের দরজা’ বন্ধ হয়ে যায়।
