Scopri anche

• Vulnerabilità CVE-2026-0628 in Chrome: il pannello Gemini a rischio di exploit
• Vulnerabilità critiche nei router TP-Link: patch urgenti e mitigazioni consigliate
• Google corregge CVE-2026-2441: vulnerabilità zero-day già sfruttata attivamente in Chrome
• OpenAI lancia Codex Security: validazione comportamentale invece di report SAST tradizionali
• DarkSword: l'exploit kit iOS che minaccia milioni di iPhone viene reso pubblico su GitHub
• CVE-2026-1731: CISA conferma sfruttamento attivo della vulnerabilità critica BeyondTrust
• Samsung rilascia One UI 8 Watch per Galaxy Watch 4 con patch correttiva dopo i problemi iniziali
• Apple rilascia iOS 26.4 e le Release Candidate di watchOS 26.4, tvOS 26.4 e visionOS 26.4
• Patch Management e Vulnerability Management: differenze, integrazione e il caso NetScaler
• Cybersecurity 2025: vulnerabilità critiche sfruttate in ore, ransomware evolve e attacchi su larga scala
• Gemini 3 Deep Think e Agentic Vision: le nuove capacità di ragionamento di Google
• DarkSword: catena di exploit sfrutta sei vulnerabilità per compromettere iPhone
• DarkSword, nuova catena di exploit iOS: vulnerabilità corrette da Apple
• L'automazione aziendale tra intelligenza artificiale e processi operativi
• Vulnerabilità iOS: exploit Coruna e DarkSword mettono a rischio milioni di iPhone
• Apple invita ad aggiornare iOS: exploit kit DarkSword e Coruna minacciano milioni di dispositivi
• Apple introduce i Background Security Improvements: aggiornamenti di sicurezza invisibili tra una versione e l'altra
• AMD nomina Ariel Kelman come nuovo Chief Marketing Officer per rafforzare la strategia AI
• Sony rilascia il firmware 4.93 per PlayStation 3 a quasi vent'anni dal lancio
• DarkSword: nuovo exploit kit iOS colpisce milioni di iPhone con catena di vulnerabilità zero-day

Vulnerabilità critiche nei router TP-Link: analisi tecnica e misure di mitigazione

Vulnerabilità critiche nei router TP-Link: analisi tecnica e misure di mitigazione

Diversi modelli di router TP-Link risultano interessati da vulnerabilità critiche che espongono le reti domestiche e aziendali a rischi significativi. Le falle di sicurezza identificate consentono potenzialmente l'esecuzione di comandi non autorizzati, il bypass di meccanismi di autenticazione e il controllo remoto dei dispositivi. La Cybersecurity and Infrastructure Security Agency (CISA) ha emanato avvisi specifici, raccomandando in alcuni casi la sostituzione dei modelli obsoleti. L'analisi delle vulnerabilità coinvolge CVE con punteggi CVSS compresi tra 8.5 e 10.0, indicativi di un livello di pericolosità elevato.

Le vulnerabilità nei router Archer NX: dettagli tecnici

⬆ Torna su

Quattro vulnerabilità critiche interessano i modelli TP-Link Archer NX200, NX210, NX500 e NX600, con punteggi CVSS compresi tra 8.5 e 8.6. Le falle combinano problemi di autorizzazione, iniezione di comandi e failure crittografiche, compromettendo confidenzialità, integrità e disponibilità dei dispositivi. I modelli interessati non sono commercializzati negli Stati Uniti, ma risultano diffusi in Europa e altre regioni.

La vulnerabilità CVE-2025-15517 (CVSS 8.6) riguarda il bypass dell'autorizzazione negli endpoint HTTP server. Attaccanti non autenticati possono accedere a endpoint come /upload_firmware o config_alter, sfruttando l'assenza di validazione dei token. La patch rilasciata rafforza le liste di controllo degli accessi (ACL).

La CVE-2026-15518 (CVSS 8.5) riguarda la command injection nel CLI wireless control. Input non sanificati nei parametri CLI permettono l'esecuzione di comandi arbitrari con privilegi di root. La vulnerabilità deriva dall'uso di funzioni come strcpy senza controllo dei limiti. Analogamente, la CVE-2026-15519 (CVSS 8.5) presenta un problema analogo nel CLI modem management, con propagazione di input malevoli a shell OS-level.

La CVE-2025-15605 (CVSS 8.5) riguarda una chiave hardcoded nel meccanismo di configurazione. Una chiave statica, derivata ad esempio da hash MD5, permette la decrittografia, modifica e ricrittografia del file /etc/config. Questo consente a un attaccante di manipolare le configurazioni del dispositivo.

CVE-2024-5035: punteggio CVSS massimo nell'Archer C5400X

⬆ Torna su

La vulnerabilità identificata come CVE-2024-5035 ha ricevuto un punteggio CVSS di 10.0, il livello massimo di gravità. Il problema risiede in un file binario denominato "rftest", relativo al test della radiofrequenza, che avvia un listener di rete su porte TCP specifiche (8888, 8889, 8890). Questo consente a un attaccante remoto non autenticato di eseguire codice sul dispositivo con privilegi elevati.

La restrizione progettata per accettare solo comandi specifici risulta agevolmente aggirabile mediante l'inserimento di comandi non autorizzati. La vulnerabilità affligge tutte le versioni del firmware precedenti alla 1_1.1.6. TP-Link ha rilasciato la patch nella versione 1_1.1.7 del firmware, che elimina la possibilità di eseguire comandi contenenti caratteri speciali.

Modelli obsoleti e l'avvertenza della CISA

⬆ Torna su

L'agenzia governativa statunitense CISA ha segnalato una vulnerabilità critica, identificata due anni prima ma ancora sfruttabile, con punteggio CVSS di 8.8 su 10. La falla consente agli attaccanti di eseguire comandi non autorizzati, ottenendo potenzialmente il controllo completo dei dispositivi. I modelli interessati includono il TL-WR940N (senza aggiornamenti dal 2016), il TL-WR841N (senza supporto dal 2015, nonostante oltre 77.000 recensioni su Amazon) e il TL-WR740N (ultimo aggiornamento risalente a 15 anni prima).

La vulnerabilità risiede nell'interfaccia web di gestione dei router, dove un parametro specifico nelle richieste GET non viene adeguatamente validato. Questo tipo di falla, classificata come command injection, permette l'introduzione di codice malevolo nel sistema. I rischi risultano particolarmente elevati per i dispositivi con accesso remoto abilitato, ma anche le reti locali non sono esenti da pericoli. Le agenzie federali statunitensi sono state obbligate a dismettere questi dispositivi entro luglio 2025.

La scoperta di IBM X-Force Red: vulnerabilità nel processo di autenticazione

⬆ Torna su

Il ricercatore Grzegorz Wypych, del team IBM X-Force Red, ha identificato una vulnerabilità che interessa i router Archer C5 V4, MR200v4, MR6400v4 e MR400v3. La falla consente di superare il nome utente e la password impostati dall'utente a causa di un bug nel software TP-Link che non gestisce correttamente le richieste HTTP superiori a una certa dimensione. Un aggressore può assumere il controllo del router, modificando le credenziali di accesso e aprendo una porta di accesso dall'esterno (rete WAN).

TP-Link ha rilasciato quattro patch di sicurezza per i modelli interessati. I ricercatori di IBM X-Force Red hanno dimostrato la possibilità di accedere ai servizi TFTP e TELNET utilizzando solo il nome utente "admin" senza alcuna password. In questo modo, un utente malintenzionato può non solo assumere il controllo del dispositivo, ma anche impedire all'utente legittimo l'utilizzo del proprio router.

Protocollo TDDP e rischio di accesso root non autenticato

⬆ Torna su

Project Zero di Google ha reso nota una vulnerabilità legata al protocollo TDDP (TP-Link Device Debug Protocol). Questo processo invia due tipi di comandi al dispositivo: uno di questi non richiede l'autenticazione come amministratore e consente di inviare richieste tramite il Trivial File Transfer Protocol (TFTP). Le richieste vengono elaborate da un interpreter con privilegi di root, permettendo l'invio di qualsiasi tipo di comando al sistema e il conseguente controllo del dispositivo.

Botnet Quad 7 e attacchi coordinati

⬆ Torna su

Microsoft ha individuato una rete di router Small Office/Home Office (SOHO) compromessi, denominata CovertNetwork-1658 e nota anche come botnet Quad 7 (7777). Secondo quanto riportato da TP-Link, questa rete è stata utilizzata da autori di minacce cinesi per condurre attacchi password spray contro account Microsoft 365. L'autore della minaccia sfrutta le vulnerabilità dei router per ottenere la capacità di esecuzione di codice in modalità remota.

I problemi di sicurezza sono stati rilevati sugli Archer C7 e TL-WR841N/ND, ma secondo i dati in possesso dell'azienda anche altri modelli da essa prodotti sarebero a rischio. L'avviso è quindi rivolto a tutti i possessori di router TP-Link.

Misure di mitigazione e raccomandazioni

⬆ Torna su

TP-Link ha rilasciato patch specifiche per ogni versione hardware dei modelli interessati, rendendo la mitigazione accessibile a tutti gli utenti. La verifica della versione hardware sull'etichetta del router e il download dell'update corrispondente dal portale supporto TP-Link rappresentano i passaggi necessari. Per i modelli che non ricevono più aggiornamenti firmware, la sostituzione con dispositivi più recenti e supportati costituisce l'unica soluzione effettiva.

Un punto fondamentale riguarda la configurazione del router: l'interfaccia di amministrazione remota su Internet non viene attivata di default dal firmware, ma deve essere l'utente ad abilitarla manualmente. TP-Link sconsiglia di esporre questa interfaccia su Internet. Il team di esperti di Malwarebytes ha pubblicato un vademecum per gli utenti potenzialmente a rischio: aggiornare il firmware alla versione più recente, sostituire i dispositivi non più supportati, disattivare tutte le funzioni di gestione remota e modificare le password di amministrazione evitando di riutilizzare quelle obsolete.

Le vulnerabilità identificate derivano da problemi ricorrenti nel codice, tra cui buffer overflow in protocolli CWMP, command injection via parametri HTTP, residui di debug code e uso di funzioni come strncpy senza null-termination. Tali issues, spesso classificabili come zero-day, richiedono attenzione costante sia da parte dei produttori che degli utenti finali.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La concentrazione di vulnerabilità critiche su dispositivi ampiamente diffusi come i router TP-Link crea un perimetro di rischio esteso sia per le reti domestiche che per quelle aziendali. La presenza di modelli obsoleti ancora operativi, alcuni senza aggiornamenti da oltre un decennio, rappresenta un problema strutturale difficile da risolvere solo tramite patch.

• Scenario 1: I dispositivi obsoleti come TL-WR940N e TL-WR841N rimangono in uso nonostante le raccomandazioni, esponendo le reti a sfruttamento continuativo.
• Scenario 2: La botnet Quad 7 potrebbe espandersi sfruttando i modelli ancora non patchati, amplificando attacchi coordinati come password spray.
• Scenario 3: L'applicazione delle patch su modelli supportati riduce significativamente la superficie d'attacco, ma richiede verifica della versione hardware.

Cosa monitorare

⬆ Torna su

• Aggiornamenti firmware per modelli Archer NX, C5400X e C5 V4 ancora supportati dal produttore.
• Presenza di porte TCP 8888, 8889, 8890 aperte, indicative del listener "rftest" vulnerabile.
• Dispositivi con interfaccia di amministrazione remota esposta su Internet.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://prothect.it/sicurezza/vulnerabilita-multiple-nei-router-tp-link-archer-come-proteggerli-subito/
• https://www.ilgiornale.it/news/hardware-e-software/router-tp-link-colpiti-dagli-hacker-lallarme-lanciato-2533527.html
• https://www.html.it/magazine/cisa-avverte-vulnerabilita-critiche-in-alcuni-tra-i-router-tp-link-piu-diffusi-fai-attenzione-potresti-averne-uno/
• https://sicurezza.net/cyber-security/vulnerabilita-router-tp-link-pericolo-imminente/
• https://www.securityopenlab.it/news/683/telecamere-tp-link-vulnerabili-ai-cyber-attacchi.html
• https://hackerjournal.it/4963/scoperta-vulnerabilita-zero-day-nei-router-tp-link/
• https://www.cybertrends.it/vulnerabilita-zero-day-nei-router-tp-link/