TP-Link sotto attacco: scoperta una vulnerabilità zero-day che espone milioni di router

WiFi TP-Link sotto attacco: scoperta una vulnerabilità zero-day che espone milioni di router

Una nuova vulnerabilità zero-day nei router TP-Link consente agli hacker di eseguire codice da remoto e prendere pieno controllo dei dispositivi colpiti. Questa falla, identificata come CVE-2025-9961, permette di superare le attuali protezioni di sicurezza del router e – se non viene corretto subito – può portare all’inserimento dei dispositivi in botnet oppure al furto di dati di tutti i dispositivi collegati alla rete domestica o aziendale. È fondamentale aggiornare immediatamente il firmware del router, disabilitare le funzioni di gestione remota se non necessarie, e utilizzare credenziali robuste per l’accesso al pannello di controllo. Se il tuo dispositivo risulta non aggiornabile perché fuori supporto, valuta la sostituzione.

La scoperta: CVE-2025-9961 e la catena di exploit

Nelle ultime ore, sono state rese pubbliche dettagli tecnici relativi a una gravissima vulnerabilità affiorata nei dispositivi router TP-Link, la quale è già attivamente sfruttata in attacchi reali. Il difetto, designato CVE-2025-9961, affligge il servizio CWMP (TR-069), componente utilizzata per la gestione remota dei dispositivi da parte degli operatori internet. Il problema nasce da un overflow dello stack dovuto all’assenza di controlli sulla lunghezza degli input durante la procedura di modifica dei parametri di configurazione. Questa debolezza consente a un utente malintenzionato di inviare richieste SOAP artigianali (via protocollo TR-069) e di eseguire codice a piacimento, ottenendo di fatto il pieno controllo da remoto sul router.

Analisi tecnica dell’attacco

L’attacco avviene tipicamente in più fasi:

  • Preparazione: Il cyber criminale predispone un server ACS malevolo (Auto Configuration Server) e invia al router una richiesta di sessione.
  • Overflow dello stack: Viene inviata una richiesta SOAP modificata che contiene un payload in grado di sovrascrivere il flusso di esecuzione grazie al difetto di controllo nel CWMP.
  • Bypass dei meccanismi di protezione: Nonostante il router utilizzi misure di sicurezza come ASLR (Address Space Layout Randomization), l’attaccante può adottare tecniche di brute-forcing, automatizzando il riavvio dei servizi tramite l’interfaccia web integrata.
  • Esecuzione del payload: Una volta completata l’esecuzione del codice arbitrario, il dispositivo attaccato stabilisce una connessione con il comando dell’utente malintenzionato, spesso tramite reverse shell, permettendo di scaricare software malevolo o di insediarsi stabilmente sulla rete.

Implicazioni e rischi concreti

La gravità del problema è altissima: la vulnerabilità consente azioni quali:

  • Inserimento del router in una botnet per sferrare attacchi su larga scala o campagne di phishing.
  • Monitoraggio del traffico dati che attraversa il router: credenziali, email, siti visitati e molto altro.
  • Modifiche persistenti alla configurazione di rete o installazione di malware direttamente sul router.
  • Possibile compromissione di ogni dispositivo collegato alla rete locale.

Modelli colpiti ed estensione del rischio

Secondo le segnalazioni ufficiali e la documentazione dei CERT e di TP-Link, la vulnerabilità interessa specifici modelli dotati di CWMP, principalmente indirizzati all’ambito small office e domestico. Alcuni modelli, come i router Archer C7 e TL-WR841N/ND (compresi quelli rebrandizzati da ISP in Europa e Nord America), sono stati particolarmente presi di mira, anche in passato, da botnet come Quad7 (7777). Tuttavia, il rischio potrebbe estendersi ad altri modelli in cui il componente vulnerabile non sia stato ancora rimosso o corretto.

Azioni, patch e raccomandazioni

TP-Link ha già rilasciato aggiornamenti firmware che sanano la falla su tutti i modelli attualmente supportati e, in alcuni casi, persino su dispositivi fuori supporto grazie all’evidente rischio per la sicurezza globale delle reti. Le patch prevedono l’introduzione di controlli di lunghezza sugli input vulnerabili, l’attivazione di stack canaries e una migliore protezione dell’area di memoria coinvolta (RELRO). È cruciale verificare immediatamente la presenza di aggiornamenti per il proprio modello di router, eseguire l’installazione senza indugi, e – in caso di dispositivi non più supportati – valutare la sostituzione con modelli più recenti.

Contromisure pratiche

Per mitigare i rischi legati a questa vulnerabilità, si raccomanda:

  • Aggiornare il firmware del router all’ultima versione disponibile direttamente dal sito ufficiale TP-Link o dal pannello amministrativo.
  • Disabilitare l’accesso remoto alla gestione router (CWMP/TR-069) se non è strettamente necessario.
  • Impostare password complesse e uniche sia per il wifi che per il pannello di controllo locale.
  • Limitare l’accesso all’interfaccia di amministrazione solo da dispositivi di fiducia collegati alla rete locale.
  • Eseguire periodicamente un backup della configurazione sicura, e ripulire regolarmente la lista dei dispositivi connessi.

Esempio di procedura di aggiornamento

  1. Accedi al pannello web del router (di solito digitando 192.168.0.1 o 192.168.1.1 nel browser).
  2. Inserisci le credenziali di amministratore.
  3. Vai su “Aggiornamento firmware” e controlla se sono disponibili nuove versioni.
  4. Scarica e applica l’aggiornamento, seguendo le istruzioni specifiche modellate su ogni prodotto.
  5. Dopo il riavvio, verifica che l’accesso remoto (CWMP/TR-069) sia disabilitato, a meno che non sia obbligatorio in base alle esigenze dell’ISP.

Questioni sollevate per il futuro

Questo nuovo incidente mette in evidenza quanto sia fondamentale mantenere i dispositivi di rete sempre aggiornati e dotati delle più recenti contromisure di sicurezza. I protocolli di gestione remota sono sempre più bersaglio di attacchi automatizzati, con tecniche che evolvono costantemente e che mirano anche router di fascia consumer spesso abbandonati dagli utenti una volta installati. L’utilizzo di password deboli, la mancata applicazione delle patch e la presenza di servizi di configurazione accessibili dall’esterno rappresentano un rischio grave e tangibile che va affrontato con consapevolezza.

Le nuove campagne di attacco, come quella orchestrata dalla botnet Quad7, sfruttano dispositivi non aggiornati per attacchi contro piattaforme di grandi aziende come Microsoft 365, complicando la rilevazione delle intrusioni perché le azioni provengono da migliaia di IP domestici apparentemente innocui.

Approfondimento: consigli concreti per la difesa avanzata

  • Monitora regolarmente i log del router per identificare accessi o configurazioni sospette.
  • Considera l’impiego di firewall hardware o soluzioni di filtraggio DNS per bloccare tentativi di connessione malevoli.
  • Isola la rete dei dispositivi IoT (smart TV, elettrodomestici intelligenti, videocamere) dalla rete principale, in modo che un attacco a uno di questi dispositivi non comprometta i tuoi dati sensibili.
  • In caso di compromissione sospetta, effettua il reset completo del router (factory reset) e riconfigura manualmente tutti i parametri partendo da zero.
  • Evita di conservare backup delle configurazioni su dispositivi insicuri e distruggi i file non più necessari una volta utilizzati.
  • Considera l’acquisto di dispositivi con aggiornamenti garantiti e gestione centralizzata della sicurezza, soprattutto per ambienti aziendali.

Rimani sempre aggiornato sulle segnalazioni delle autorità di settore (CERT, CISA, TP-Link) e affronta con tempestività ogni annuncio di vulnerabilità emergenti. La sicurezza della tua rete – e di tutte le informazioni e dispositivi collegati – dipende prima di tutto dalle tue azioni rapide e consapevoli.

Fonte: https://cybersecuritynews.com/tp-link-router-zero-day-rce-vulnerability

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto