Powrót do strony głównej

Podatności TP-Link Archer NX: CVE-2025-15517 i poprawki

TP-Link usunął krytyczne podatności w routerach Archer NX, w tym CVE-2025-15517 z RCE bez uwierzytelniania. Poprawki zamykają hardkodowane klucze kryptograficzne i wstrzykiwanie poleceń. Zalecenia dotyczące aktualizacji w celu minimalizacji ryzyk.

Krytyczne błędy w TP-Link Archer NX: RCE i wstrzykiwania
Advertisement 728x90

Krytyczne podatności w routerach TP-Link Archer NX: szczegóły i poprawki

TP-Link wydała aktualizacje firmware'u dla modeli Archer NX200, NX210, NX500 i NX600, zamykając kilka krytycznych luk. Główna z nich — CVE-2025-15517 — pozwalała na anonimowe wgrywanie dowolnego firmware'u przez niechronione CGI-endpointy serwera HTTP. To otwierało drogę do pełnego skompromitowania urządzenia bez uwierzytelniania.

Aktualizacje dotyczą również problemów z kryptografią konfiguracji i wstrzykiwaniem poleceń, czyniąc routery podatnymi na ataki z podwyższonymi uprawnieniami. Poniżej — analiza każdej luki z szczegółami technicznymi.

Analiza CVE-2025-15517: nieautoryzowane wgrywanie firmware'u

Ta luka wynikała z braku sprawdzania uwierzytelniania w serwerze HTTP routera. Napastnik mógł obraschatsya do określonych CGI-endpointów wykonujących uprzywilejowane operacje:

Google AdInline article slot
  • Zmiana konfiguracji.
  • Wgrywanie i stosowanie nowego firmware'u.
  • Pełna kontrola nad urządzeniem.

Bez uwierzytelniania każdy zdalny atakujący z dostępem sieciowym mógł nadpisać firmware, wdrożriv backdoor lub złośliwy kod. Powagę potwierdza wysoki wynik CVSS — potencjał dla RCE bez wysiłku.

Patch w zaktualizowanym firmware wprowadza obowiązkowe sprawdzanie sesji i tokenów dla wszystkich wrażliwych endpointów, blokując anonimowy dostęp.

CVE-2025-15605: twardo zakodowany klucz kryptograficzny w konfiguracji

W mechanizmie konfiguracji używany był statyczny klucz kryptograficzny, twardo wpisany w kod. Uwierzytelniony napastnik z dostępem do plików konfiguracyjnych mógł:

Google AdInline article slot
  • Odszyfrować konfigurację.
  • Analizować lub wyciągnąć wrażliwe dane (hasła Wi-Fi, konta użytkownika).
  • Wnieść zmiany.
  • Ponownie zaszyfrować plik z fałszywym kluczem.

To tworzyło łańcuch ataków: od przechwycenia ruchu sieciowego po trwały dostęp. Aktualizacja generuje dynamiczne klucze na podstawie metryk sprzętowych urządzenia, wzmacniając ochronę przed reverse engineering.

Wstrzykiwanie poleceń: CVE-2025-15518 i CVE-2025-15519

Dwie luki pozwalały administratorom o niskich uprawnieniach na wykonywanie dowolnych poleceń shell na routerze. Możliwe wektory:

  • CVE-2025-15518: Przez parametry w interfejsie webowym, niesanitizowane przed metaznakami shell (;, &&, |).
  • CVE-2025-15519: W API-endpointach do diagnostyki, gdzie wejście nie było walidowane.

Przykład scenariusza: ping 127.0.0.1; rm -rf /etc/config — usunięcie krytycznych plików. Patche dodają sanitizację wejścia, listę białą poleceń oraz walidację zależną od kontekstu.

Google AdInline article slot

| Podatność | CVSS | Wektor ataku | Status poprawki |

|-----------|------|--------------|-----------------|

| CVE-2025-15517 | 9.8 | Zdalne RCE | Naprawione |

| CVE-2025-15605 | 7.5 | Modyfikacja konfiguracji | Naprawione |

| CVE-2025-15518 | 8.1 | Wstrzykiwanie poleceń | Naprawione |

| CVE-2025-15519 | 8.1 | Wstrzykiwanie poleceń | Naprawione |

Zalecenia dotyczące aktualizacji i migracji

  • Pobierz firmware ze strony TP-Link dla swojego modelu (Archer NX200/210/500/600).
  • Aktualizuj przez interfejs webowy lub TFTP-recovery w przypadku brick'a.
  • Po aktualizacji zmień wszystkie hasła i sprawdź logi pod kątem podejrzanej aktywności.
  • Używaj segmentacji VLAN do izolacji routera od urządzeń IoT.

TP-Link podkreśla: bez patcha urządzenia pozostają w strefie ryzyka, producent nie gwarantuje ochrony przed exploitation.

Co ważne

  • CVE-2025-15517 pozwala na RCE bez auth: Pełna zamiana firmware'u zdalnie.
  • Twardo zakodowany klucz w konfiguracji: Łatwy dostęp do haseł i ustawień.
  • Wstrzykiwanie poleceń dla adminów: Eskalacja uprawnień przez shell.
  • Obowiązkowa aktualizacja: Patche dostępne, ryzyka trwają bez nich.
  • Dla middle/senior: Sprawdzaj CGI-endpointy i crypto w swoich projektach embedded.

— Editorial Team

Advertisement 728x90

Czytaj dalej