Vulnerabilità critiche nei router TP-Link: CISA e ricercatori segnalano falle diffuse

Numerose vulnerabilità affliggono i router TP-Link, dai modelli obsoleti alle serie recenti Archer NX. La CISA impone la dismissione di dispositivi non support…

Contenuto

Vulnerabilità critiche nei router TP-Link: CISA e ricercatori segnalano falle diffuse

Scopri anche

Vulnerabilità critiche nei router TP-Link: CISA e ricercatori segnalano falle diffuse

Vulnerabilità critiche nei router TP-Link: CISA e ricercatori segnalano falle diffuse

In questo articolo:

L'attenzione sulle vulnerabilità dei router TP-Link si è intensificata negli ultimi mesi, con segnalazioni che coinvolgono sia modelli datati che dispositivi di recente produzione. La Cybersecurity and Infrastructure Security Agency (CISA) ha emanato avvisi specifici, mentre ricercatori indipendenti hanno individuato falle di sicurezza che interessano milioni di dispositivi in tutto il mondo. Il quadro che emerge riguarda un problema strutturale: cicli di aggiornamento lenti, codice legacy non revisionato e pratiche di patching incomplete.

Le azioni della FCC e il contesto geopolitico

⬆ Torna su

La Federal Communications Commission ha deciso di bloccare l'ingresso sul mercato statunitense di nuovi router domestici prodotti all'estero, inserendoli nella lista dei dispositivi ritenuti non sufficientemente sicuri per le infrastrutture americane. Il provvedimento riguarda una categoria di oggetti diffusi ma invisibili: i router che gestiscono il traffico digitale quotidiano di case, uffici e piccole imprese. Secondo l'autorità americana, vulnerabilità presenti nei dispositivi prodotti all'estero sono state sfruttate per attacchi informatici, attività di spionaggio e furti di proprietà intellettuale.

TP-Link detiene il 65% del mercato dei router negli Stati Uniti, secondo i dati citati dal deputato Raja Krishnamoorthi. Nel 2024, Krishnamoorthi e John Moolenaar hanno inviato una lettera al Dipartimento del Commercio statunitense segnalando «vulnerabilità inusuali» nei dispositivi e criticando l'obbligo di conformità alle leggi cinesi. I router TP-Link sono stati associati a episodi di hacking in Europa, come gli attacchi Volt Typhoon, e a violazioni dei dati di funzionari europei.

CVE-2025-15517 e la serie Archer NX: bypass dell'autenticazione

⬆ Torna su

I router della serie Archer NX, in particolare i modelli NX200, NX210, NX500 e NX600, soffrono di una vulnerabilità di bypass dell'autenticazione identificata come CVE-2025-15517. La falla deriva da un controllo di autenticazione mancante all'interno di specifici endpoint HTTP esposti dal Web server integrato nel router. In condizioni normali, tali endpoint dovrebbero risultare accessibili solo dopo autenticazione attraverso l'interfaccia amministrativa. Tuttavia, una logica incompleta consente richieste dirette verso risorse CGI senza verifica delle credenziali.

Il punteggio CVSS 8.6 riflette un rischio concreto in ambienti domestici e small office. Tra le azioni possibili rientrano il caricamento di firmware, la modifica della configurazione e l'esecuzione di operazioni amministrative. L'impatto risulta elevato perché la vulnerabilità non richiede interazione dell'utente né privilegi preesistenti. Un aggressore che si trovi nella stessa rete locale può inviare richieste HTTP direttamente al router, evitando la schermata di login.

Vulnerabilità aggiuntive, identificate come CVE-2025-15518 e CVE-2025-15519, amplificano il rischio: un aggressore autenticato può eseguire comandi a livello di sistema operativo sfruttando input non validati nei percorsi CLI interni. Il difetto rientra nella categoria CWE-306, ovvero assenza di controlli di autenticazione su risorse critiche.

Router VPN Omada e Festa: codice di debug residuo

⬆ Torna su

I ricercatori di Forescout's Vedere Labs hanno individuato due nuove falle nei router VPN Omada e Festa di TP-Link, identificate come CVE-2025-7850 e CVE-2025-7851. Queste vulnerabilità sono state descritte come parte di un modello ricorrente di patching incompleto e codice di debug residuo. Un problema precedentemente noto, CVE-2024-21827, permetteva agli aggressori di sfruttare una funzione di codice di debug per ottenere l'accesso root sui router. Sebbene TP-Link abbia corretto questa vulnerabilità, l'aggiornamento ha lasciato residui dello stesso meccanismo accessibili in condizioni specifiche.

Se viene creato sul dispositivo un file di sistema denominato image_type_debug, ricompare il vecchio comportamento di login root. La seconda falla, CVE-2025-7850, colpisce l'interfaccia di configurazione VPN WireGuard: una sanitizzazione impropria di un campo di chiave privata consente a un utente autenticato di iniettare comandi del sistema operativo, risultando nell'esecuzione completa di codice remoto come utente root. Lo sfruttamento combinato delle vulnerabilità crea una rotta per il controllo completo del dispositivo.

Modelli obsoleti nel mirino della CISA

⬆ Torna su

L'agenzia governativa americana CISA ha segnalato una falla critica, identificata due anni fa ma ancora sfruttabile, che coinvolge modelli di router non più supportati. La vulnerabilità, con un punteggio di 8.8 su 10 nella scala di gravità, consente agli attaccanti di eseguire comandi non autorizzati, ottenendo potenzialmente il controllo completo dei dispositivi. Tra i modelli interessati figurano il TL-WR940N, non aggiornato dal 2016, il TL-WR841N, privo di supporto dal 2015 nonostante oltre 77.000 recensioni su Amazon, e il TL-WR740N, il cui ultimo aggiornamento risale a 15 anni fa.

La vulnerabilità risiede nell'interfaccia web di gestione dei router, dove un parametro specifico nelle richieste GET non viene adeguatamente validato. Questo tipo di falla, nota come command injection, permette di introdurre codice malevolo nel sistema. La CISA ha imposto alle agenzie federali statunitensi di dismettere questi dispositivi entro luglio 2025 e raccomanda a tutte le organizzazioni e ai privati di sostituire immediatamente i modelli obsoleti.

Zero-day e botnet Quad7

⬆ Torna su

TP-Link ha confermato l'esistenza di una vulnerabilità zero-day che interessa diversi modelli di router. Scoperta dal ricercatore indipendente Mehrun di ByteRay, la falla consiste in uno stack-based buffer overflow nell'implementazione CWMP presente su router TP-Link. Il difetto risiede specificamente in una funzione che gestisce i messaggi SOAP SetParameterValues e deriva dalla mancanza di controlli sui limiti nelle chiamate 'strncpy', consentendo l'esecuzione di codice remoto quando la dimensione del buffer dello stack supera i 3072 byte.

Per sfruttare la vulnerabilità, un attaccante dovrebbe reindirizzare i dispositivi vulnerabili verso un server CWMP malevolo e inviare un carico SOAP di dimensioni eccessive. I modelli coinvolti includono Archer AX10, Archer AX1500, EX141, Archer VR400 e TD-W9970. La CISA ha aggiunto al proprio catalogo CVE-2023-50224, un difetto di bypass dell'autenticazione, e CVE-2025-9377, una falla di iniezione di comandi, già sfruttati dalla botnet Quad7 per compromettere router TP-Link. La concatenazione di questi exploit consente l'esecuzione di codice remoto. La botnet Quad7 sfrutta queste vulnerabilità dal 2023 per installare malware personalizzato sui router, trasformandoli in proxy e relè di traffico.

Misure di mitigazione e raccomandazioni

⬆ Torna su

TP-Link ha rilasciato aggiornamenti firmware che correggono le vulnerabilità individuate, introducendo controlli di autenticazione più rigorosi sugli endpoint HTTP e correggendo le logiche di validazione delle richieste. Oltre all'aggiornamento, le misure raccomandate includono la disattivazione dell'accesso remoto alla console amministrativa, la segmentazione della rete locale separando dispositivi IoT e client principali, e l'uso di password robuste. Gli utenti dovrebbero modificare immediatamente le password dell'amministratore predefinite, disabilitare CWMP se non necessario, applicare l'ultimo aggiornamento del firmware disponibile e segmentare il router dalle reti critiche.

La presenza di riavvii improvvisi, reset di configurazione o modifiche inattese alle impostazioni può indicare un tentativo di sfruttamento delle vulnerabilità. In caso di compromissione accertata, è necessario scollegare i dispositivi connessi, effettuare un ripristino del router tramite il tasto RESET, aggiornare il firmware all'ultima versione disponibile e modificare le password di tutti i servizi utilizzati dai dispositivi collegati alla rete compromessa.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La concentrazione di vulnerabilità in un singolo produttore con larga quota di mercato crea un rischio sistemico per infrastrutture domestiche e piccole imprese. Le falle nei modelli obsoleti, uniti a zero-day attivamente sfruttati da botnet, suggeriscono una superficie d'attacco ampia e persistente.

  • Scenario 1: Le autorità di regolazione potrebbero estendere restrizioni simili a quelle della FCC ad altri mercati occidentali, limitando la distribuzione di dispositivi considerati non sicuri.
  • Scenario 2: L'attività della botnet Quad7 potrebbe intensificarsi sfruttando la concatenazione di CVE già noti, trasformando un numero significativo di router in nodi proxy.
  • Scenario 3: Gli utenti con modelli obsoleti potrebbero tardare nella sostituzione, prolungando l'esposizione a rischio di command injection e controllo remoto.

Cosa monitorare

⬆ Torna su
  • Tempistiche e copertura dei nuovi aggiornamenti firmware per le serie Archer NX, Omada e Festa.
  • Estensione delle liste di dismissione CISA ad altri modelli oltre al TL-WR940N e TL-WR841N.
  • Segnali di compromissione: riavvii improvvisi, modifiche inattese alla configurazione, traffico anomalo in uscita.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

In breve

  • cybersecurity
  • vulnerabilita
  • cve
  • malware

Link utili

Apri l'articolo su DeafNews