Attualmente è stata scoperta una vulnerabilità zero-day estremamente seria che espone numerosi modelli di router TP-Link a possibili attacchi da remoto. La falla riguarda il protocollo CWMP (TR-069) e permette agli hacker di prendere il controllo del router e della rete domestica o aziendale. Per proteggeresti: aggiorna subito il firmware, disattiva la gestione remota (CWMP), cambia le credenziali di default e monitora l’attività di rete.
Cos’è una vulnerabilità zero-day e perché è così rischiosa?
Una vulnerabilità zero-day è una falla sconosciuta ai produttori per la quale non esiste ancora una soluzione ufficiale. In questo caso, riguarda router TP-Link e consente agli attaccanti di compromettere i dispositivi tramite internet, sfruttando il protocollo di gestione CWMP.
Dettagli tecnici della vulnerabilità
La vulnerabilità è stata scoperta dal ricercatore indipendente Mehrun e riguarda la modalità in cui il firmware TP-Link gestisce i messaggi SOAP associati a CWMP. Il problema si configura come un buffer overflow (sovraccarico di memoria) che permette di eseguire codice arbitrario da remoto. In pratica, chi attacca può controllare il dispositivo e usare la rete per attività dannose.
I router coinvolti confermati sono, tra gli altri:
- Archer AX10 (versioni V1/V2)
- Archer AX1500
- Molti altri modelli potrebbero essere vulnerabili, poiché il componente CWMP è condiviso tra diverse linee di prodotto.
Come si sfrutta la vulnerabilità
Un attaccante può inviare un pacchetto appositamente costruito che manda in crash il servizio CWMP e sovrascrive l’indirizzo del programma, acquisendo il controllo totale. Esiste già un proof-of-concept funzionante che dimostra la gravità del rischio.
Situazione attuale delle patch
TP-Link ha già rilasciato una patch per alcuni modelli europei, ma la maggior parte dei firmware globali, inclusi quelli statunitensi, è ancora priva di aggiornamento. Non sono state comunicate date precise per la distribuzione universale delle correzioni.
Attenzione: Fino al rilascio delle patch ufficiali, i router vulnerabili sono particolarmente esposti e vanno protetti seguendo i consigli riportati sotto.
Altre vulnerabilità critiche segnalate su TP-Link
Oltre alla zero-day CWMP, CISA (Cybersecurity and Infrastructure Security Agency) statunitense ha segnalato due ulteriori falle critiche:
- CVE-2023-50224: bypass autenticazione sull’httpd, permette di leggere le credenziali salvate (‘/tmp/dropbear/dropbearpwd’)
- CVE-2025-9377: iniezione di comandi sistema operativi, consente l’esecuzione di codice remoto
Queste vulnerabilità sono state confermate come attivamente sfruttate in rete, in particolare nei modelli Archer C7 ed TL-WR841N/ND, oltre ai nuovi modelli afflitti dalla zero-day.
Molti dei dispositivi coinvolti hanno raggiunto lo stato “End-of-Life”, il che significa che potrebbero non ricevere aggiornamenti futuri. In questi casi la sostituzione del dispositivo diventa essenziale.
Impatti concreti sulla sicurezza
Gli attaccanti sfruttando queste falle possono:
- Installare malware o botnet sulla rete
- Intercettare e manipolare il traffico dati
- Rubare credenziali e informazioni sensibili
- Espandere l’attacco ad altri dispositivi IoT collegati
Questi rischi sono massimi in reti aziendali, pubbliche e smart home dove buona parte della connettività passa per router vulnerabili.
Consigli immediati per proteggersi
Azioni semplici e rapide da adottare:
- Aggiorna sempre il firmware dal sito ufficiale TP-Link
- Disattiva la funzione CWMP (TR-069) o la gestione remota nelle impostazioni del router
- Cambia la password di amministrazione se è ancora quella predefinita
- Verifica quali servizi sono esposti a internet e chiudili se non necessari
- Controlla periodicamente lo stato della sicurezza del tuo dispositivo con strumenti come “Router Security Checkers”
- Evita di utilizzare modelli datati o che non ricevono aggiornamenti
Approfondimento tecnico per utenti avanzati
Il buffer overflow individuato permette, con un payload di 4096 byte, di superare i limiti di memoria del servizio CWMP. Essendo il CWMP una funzione spesso usata dai provider per la gestione remota del router, la sua abilitazione di default rappresenta un rischio enorme. Molti firmware di TP-Link adottano la stessa base binaria per questo servizio, aumentando la superficie d’attacco.
Gli exploit noti utilizzano tecniche di “SetParameterValues” per manipolare il buffer e ottenere un’esecuzione del proprio codice malevolo. Le patch rilasciate per le versioni europee non sono ancora state estese globalmente, quindi gran parte dei router resta vulnerabile.
Raccomandazioni in attesa delle patch globali
L’attesa per un fix ufficiale potrebbe durare settimane. Ecco cosa fare subito:
- Disabilita CWMP e tutte le funzioni di gestione remota
- Configura la rete locale con accessi protetti e segmentati per ridurre i danni potenziali in caso di attacco
- Monitora regolarmente i log di sicurezza del router e l’eventuale presenza di traffico anomalo
- Sostituisci i dispositivi non supportati o giunti a fine vita con router più aggiornati e sicuri
- Proteggi la rete interna con firewall aggiuntivi e segmentazione della rete IoT
Cosa stanno facendo gli enti di sicurezza
La CISA americana ha imposto ai suoi enti federali la risoluzione delle vulnerabilità entro il 24 settembre 2025. Anche i privati e le aziende vengono fortemente invitati ad aggiornare i dispositivi, seguire le raccomandazioni e, quando necessario, sostituire i router a fine vita o privi di patch.
Azioni approfondite
Per utenti avanzati e amministratori di rete:
- Implementa sistemi di rilevamento intrusioni per la rete locale
- Isola la rete del router su VLAN dedicate
- Prepara procedure di risposta rapida a possibili compromissioni.
Non sottovalutare la minaccia e agisci subito per mettere in sicurezza la tua rete!
