TP-Link avertizează utilizatorii că unele dintre gateway-urile sale Omada sunt afectate de mai multe vulnerabilități, inclusiv defecte critice. Injectarea de comenzi de la distanță în dispozitivele TP-Link Omada Gateway poate fi exploatată pentru a obține controlul deplin asupra sistemului, potrivit BleepingComputer. Gigantul rețelelor a publicat două avize în această săptămână pentru a informa clienții despre patru vulnerabilități majore în dispozitivele gateway Omada. Peste 12 modele de produse din seriile ER, G și FR sunt afectate, iar TP-Link a lansat actualizări de firmware pentru fiecare dintre ele.
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
Gateway-urile Omada sunt comercializate ca soluții complete (router, firewall, gateway VPN) pentru companiile mici și mijlocii și sunt unele din cele mai populare ale producatorului.
Vulnerabilități critice cu scor mare CVSS, ce denotă gravitatea acestora
Deși nu a fost confirmat de furnizor, aceste tipuri de vulnerabilități pot permite, de obicei, unui atacator să preia controlul deplin asupra dispozitivelor afectate.
Cea mai gravă dintre vulnerabilități pare să fie CVE-2025-6542. Aceasta are un scor CVSS de 9,3 și poate permite unui atacator la distanță, neautentificat, să execute comenzi ale sistemului de operare pe sistemul vizat.
O problemă cunoscută anterior, CVE-2024-21827, permitea atacatorilor să exploateze o funcție de la un cod de depanare pentru a obține acces root pe routerele TP-Link.
Deși TP-Link a remediat această vulnerabilitate, actualizarea a lăsat urme ale aceluiași mecanism de depanare accesibile în condiții specifice.
Dacă un anumit fișier de sistem, image_type_debug, era creat pe dispozitiv, vechiul comportament de conectare root reapărea.
Această descoperire a stat la baza noii vulnerabilități CVE-2025-7851.
Ancheta a descoperit apoi o a doua vulnerabilitate, CVE-2025-7850, care afecta interfața de configurare WireGuard VPN a routerelor, descrisă ca o problemă de injectare de comenzi care poate fi exploatată de un atacator care are acces de administrator la portalul web al gateway-urilor Omada.
Remediile netestate suficient pot uneori introduce noi căi de atac
Administrarea necorespunzătoare a unui câmp de cheie privată a permis unui utilizator autentificat să injecteze comenzi ale sistemului de operare, rezultând în executarea completă a codului de la distanță ca utilizator administrator/root.
În practică, exploatarea unei vulnerabilități a facilitat declanșarea celeilalte, creând o cale combinată pentru controlul complet al dispozitivului.
Acest lucru relevă modul în care remediile de rutină netestate suficient pot uneori introduce noi căi de atac, în loc să le elimine pe cele existente.
Echipa de cercetare avertizează că CVE-2025-7850 ar putea, în anumite configurații, să fie exploatată de la distanță fără autentificare.
„O comandă arbitrară a sistemului de operare poate fi executată pe gateway-urile Omada de către utilizatorul care se poate conecta la interfața de administrare web sau de către un atacator la distanță neautentificat”, se arată în avizul TP-Link.
Au mai fost descoperite 15 defecte suplimentare în alte familii de dispozitive TP-Link
Folosind accesul avansat, cercetătorii de la Forescout’s Vedere Labs au putut efectua o examinare mai cuprinzătoare a firmware-ului TP-Link.
Ei au descoperit 15 defecte suplimentare în alte familii de dispozitive TP-Link, care sunt acum în curs de divulgare coordonată și se așteaptă să fie remediate până la începutul anului 2026.
TP-Link a lansat actualizări de firmware care rezolvă cele două probleme
Riscul pe care îl prezintă cele două vulnerabilități este semnificativ, deoarece poate duce la compromiterea completă, furtul de date, răspândirea către alte dispozitive din rețea și persistența.
CVE-2025-6541 și CVE-2025-6542 afectează 13 modele de gateway Omada: ER8411, ER7412-M2, ER707-M2, ER7206, ER605, ER706W, ER706W-4G, ER7212PC, G36, G611, FR365, FR205 și FR307-M2.
Furnizorul a lansat actualizări de firmware care rezolvă cele două probleme și recomandă insistent utilizatorilor cu dispozitive afectate să aplice remedierile și să verifice configurațiile după actualizare, pentru a se asigura că toate setările rămân așa cum trebuie. CVE-2025-7850 și CVE-2025-7851 afectează toate modelele de gateway Omada enumerate mai sus. Este de remarcat faptul că cea mai recentă versiune de firmware remediază toate cele patru vulnerabilități.
Furnizorul a sfătuit clienții ca pe lângă actualizarea firmware-ului dispozitivului lor să schimbe și parola acestuia.
