# Vulnérabilités critiques dans les routeurs TP-Link Archer NX : Détails et correctifs
TP-Link a publié des mises à jour de firmware pour les modèles Archer NX200, NX210, NX500 et NX600, corrigeant plusieurs vulnérabilités critiques. La principale — CVE-2025-15517 — permettait le téléchargement anonyme de firmwares arbitraires via des endpoints CGI non protégés sur le serveur HTTP. Cela ouvrait la porte à une compromission complète de l'appareil sans authentification.
Les mises à jour corrigent également des problèmes de cryptographie de configuration et d'injection de commandes, rendant les routeurs vulnérables à des attaques d'escalade de privilèges. Voici une analyse détaillée de chaque vulnérabilité avec les aspects techniques.
Analyse de CVE-2025-15517 : Téléchargement de firmware non autorisé
Cette vulnérabilité provenait d'un manque de vérifications d'authentification dans le serveur HTTP du routeur. Un attaquant pouvait accéder à des endpoints CGI spécifiques effectuant des actions privilégiées :
- Modification de la configuration.
- Téléchargement et application d'un nouveau firmware.
- Contrôle total de l'appareil.
Sans authentification, n'importe quel attaquant distant ayant accès au réseau pouvait écraser le firmware, en injectant une porte dérobée ou du code malveillant. La gravité est confirmée par un score CVSS élevé — potentiel de RCE sans effort.
Le correctif dans le firmware mis à jour introduit des vérifications obligatoires de session et de jeton pour tous les endpoints sensibles, bloquant l'accès anonyme.
CVE-2025-15605 : Clé crypto codée en dur dans la configuration
Le mécanisme de configuration utilisait une clé crypto statique codée en dur dans le code. Un attaquant autorisé ayant accès aux fichiers de configuration pouvait :
- Décrypter la configuration.
- Analyser ou extraire des données sensibles (mots de passe Wi-Fi, comptes).
- Apporter des modifications.
- Re-chiffrer le fichier avec une clé falsifiée.
Cela créait des chaînes d'attaques : de l'interception de trafic à un accès persistant. La mise à jour génère des clés dynamiques basées sur les métriques matérielles de l'appareil, renforçant la protection contre l'ingénierie inverse.
Injections de commandes : CVE-2025-15518 et CVE-2025-15519
Deux vulnérabilités permettaient à des administrateurs à faible privilège d'exécuter des commandes shell arbitraires sur le routeur. Vecteurs possibles :
- CVE-2025-15518 : Via des paramètres dans l'interface web, non échappés des métacaractères shell (
;,&&,|). - CVE-2025-15519 : Dans les endpoints API de diagnostic, où l'entrée n'était pas validée.
Exemple de scénario : ping 127.0.0.1; rm -rf /etc/config — suppression de fichiers critiques. Les correctifs ajoutent une sanitisation des entrées, une liste blanche de commandes et une validation dépendante du contexte.
| Vulnérabilité | CVSS | Vecteur d'attaque | Statut du correctif |
|---------------|------|-----------------------|---------------------|
| CVE-2025-15517 | 9.8 | RCE à distance | Corrigé |
| CVE-2025-15605 | 7.5 | Manipulation config | Corrigé |
| CVE-2025-15518 | 8.1 | Injection commandes | Corrigé |
| CVE-2025-15519 | 8.1 | Injection commandes | Corrigé |
Recommandations de mise à jour et de migration
- Téléchargez le firmware depuis le site web TP-Link pour votre modèle (Archer NX200/210/500/600).
- Mettez à jour via l'interface web ou la récupération TFTP en cas de briquage.
- Après mise à jour, changez tous les mots de passe et vérifiez les journaux pour toute activité suspecte.
- Utilisez la ségrégation VLAN pour isoler le routeur des appareils IoT.
TP-Link insiste : sans le correctif, les appareils restent exposés, et le fabricant ne garantit pas la protection contre l'exploitation.
Points clés
- CVE-2025-15517 permet RCE sans authentification : Remplacement complet du firmware à distance.
- Clé codée en dur dans la config : Accès facile aux mots de passe et paramètres.
- Injection de commandes pour admins : Escalade de privilèges via shell.
- Mise à jour obligatoire : Les correctifs sont disponibles ; les risques persistent sans eux.
- Focus intermédiaire/senior : Vérifiez les endpoints CGI et la crypto dans vos projets embarqués.
— Editorial Team
Aucun commentaire pour le moment.