Компания TP-Link устранила ряд уязвимостей в своей серии маршрутизаторов Archer NX, включая критический дефект, который может позволить злоумышленникам обойти аутентификацию и загрузить новую прошивку.
Эта уязвимость безопасности, отслеживаемая как CVE-2025-15517, затрагивает беспроводные маршрутизаторы Archer NX200, NX210, NX500 и NX600 и вызвана отсутствием проверки подлинности, которую могут использовать атакующие без привилегий.
“Отсутствие проверки подлинности в HTTP-сервере для определенных конечных точек cgi позволяет неаутентифицированным пользователям получить доступ, предназначенный для аутентифицированных пользователей”, — пояснила TP-Link на этой неделе, выпустив обновления безопасности, устраняющие уязвимость.
“Злоумышленник может выполнять привилегированные HTTP-действия без аутентификации, включая загрузку прошивки и операции с конфигурацией”.
TP-Link также удалила жестко закодированный криптографический ключ (CVE-2025-15605) в механизме конфигурации, который позволял аутентифицированным злоумышленникам расшифровывать файлы конфигурации, изменять их и повторно шифровать.
Кроме того, были устранены две уязвимости внедрения команд (CVE-2025-15518 и CVE-2025-15519), которые позволяют злоумышленникам с правами администратора выполнять произвольные команды.
Компания “настоятельно” рекомендовала клиентам загрузить и установить последнюю версию прошивки, чтобы заблокировать потенциальные атаки, использующие эти дефекты.
“Если вы не предпримете все рекомендуемые действия, эта уязвимость останется. TP-Link не несет никакой ответственности за последствия, которых можно было бы избежать, следуя этому уведомлению”, — добавила компания.
В сентябре TP-Link была вынуждена срочно выпустить исправления для уязвимости нулевого дня, затрагивающей несколько моделей маршрутизаторов, после того как не смогла выпустить патчи по отчету от мая 2024 года. Неисправленный дефект безопасности позволял злоумышленникам перехватывать или манипулировать незашифрованным трафиком, перенаправлять DNS-запросы на вредоносные серверы и внедрять вредоносные полезные нагрузки в веб-сессии.
CISA добавила еще две уязвимости TP-Link (CVE-2023-50224 и CVE-2025-9377) в свой каталог известных эксплуатируемых уязвимостей в сентябре, которые ботнет Quad7 использовал для компрометации уязвимых маршрутизаторов.
В общей сложности американское агентство по кибербезопасности пометило шесть уязвимостей TP-Link как эксплуатируемые в атаках, самая старая из которых — уязвимость обхода каталога (CVE-2015-3035), затрагивающая несколько устройств Archer.
Генеральный прокурор Техаса Пэкстон подал в суд на TP-Link Systems в феврале, обвинив компанию в обманном продвижении своих маршрутизаторов как безопасных, в то время как она позволяла спонсируемым китайским государством хакерским группировкам использовать уязвимости прошивки и получать доступ к устройствам пользователей.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
