Entre divulgation tardive, patchs incomplets et exploitation active d’autres failles, la sécurité des routeurs TP-Link traverse une zone de turbulences.
- Une vulnérabilité critique dans les routeurs TP-Link permet une exécution de code à distance, exposant de nombreux modèles.
- TP-Link a tardé à réagir face à cette faille, ne publiant qu'un correctif partiel en Europe.
- D'autres failles exploitées par des botnets menacent les appareils TP-Link, rendant la situation encore plus préoccupante.
Une vulnérabilité de type zero-day, découverte et signalée au constructeur le 11 mai 2025, vient d’être rendue publique par le chercheur indépendant Mehrun, également connu sous le pseudonyme ByteRay. Malgré la gravité de la faille – exécution de code à distance, prise de contrôle totale possible – l’entreprise n’a pour l’instant publié de correctif partiel qu’en Europe, laissant de nombreux modèles sans protection. Un timing d’autant plus fâcheux que la CISA vient tout juste de signaler l’exploitation active de deux autres vulnérabilités affectant des routeurs TP-Link. Ambiance.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une faille critique et correctif général toujours en attente
Selon les informations publiées cette semaine par ByteRay, la faille réside dans l’implémentation du protocole CWMP (TR-069), utilisé pour la gestion à distance des routeurs par les fournisseurs d’accès. Une fonction chargée de traiter les messages SOAP SetParameterValues contient une erreur de gestion de la mémoire, qui permet de provoquer un dépassement de mémoire tampon sur la pile (stack buffer overflow), ayant pour conséquence possible l’exécution de code à distance (RCE).
A l’heure actuelle, la vulnérabilité n’a toujours pas de CVE assignée, et TP-Link n’a publié aucun détail technique à ce jour. En revanche, la documentation fournie par le chercheur est particulièrement complète. Il y décrit une erreur dans le traitement de certains messages de configuration envoyés à distance au routeur. Ces messages permettent normalement de modifier des réglages comme le nom du réseau Wi-Fi ou le mot de passe d’accès à l’interface d’administration, par exemple. Mais ici, le routeur copie aveuglément les données reçues dans un espace mémoire trop petit, sans vérifier leur taille.
Un message un peu trop long peut alors dépasser la limite, écraser des éléments internes du système et, dans certains cas, permettre à un attaquant de prendre le contrôle complet de l’appareil pour détourner le trafic, exécuter du code arbitraire ou injecter des charges malveillantes. Le scénario suppose que l’attaquant puisse rediriger l’appareil vers un serveur CWMP malveillant, ce qui est tout à fait envisageable en cas de firmware obsolète ou d’identifiants laissés par défaut.
La vulnérabilité a été confirmée sur les modèles TP-Link Archer AX10 (versions matérielles V1, V1.2, V2, V2.6) et AX1500, qui utilisent le même binaire vulnérable. D’autres appareils comme les EX141, Archer VR400 ou TD-W9970 sont potentiellement affectés, mais les tests sont toujours en cours. D’après les observations de ByteRay, plus de 4 200 appareils exposés sur Internet seraient actuellement vulnérables.
Le plus problématique reste la réaction tardive de TP-Link. Contacté en mai 2025 via une procédure de divulgation responsable, le constructeur n’a commencé à communiquer publiquement sur la faille que début septembre, après la publication du rapport de ByteRay. Un patch est annoncé pour les modèles européens, mais aucune date n’a été donnée pour les autres firmwares. Interrogé par Bleeping Computer, le constructeur a seulement confirmé travailler à adapter et accélérer la mise à disposition des correctifs, indiquant que la faille était toujours en cours d’évaluation par les équipes techniques, notamment pour déterminer si CWMP est activé par défaut et quels modèles sont réellement exposés.
Deux autres vulnérabilités TP-Link déjà exploitées par des botnets
Alors que le constructeur chinois commence à peine à réagir au sujet de cette nouvelle faille, deux autres vulnérabilités affectant des appareils TP-Link ont également été ajoutées au catalogue des vulnérabilités activement exploitées tenu par la CISA, l’agence fédérale américaine chargée de la cybersécurité. Il s’agit des références CVE-2023-50224 (contournement d’authentification) et CVE-2025-9377 (injection de commandes). Enchaînées, ces deux failles permettent d’exécuter du code à distance sur les appareils vulnérables.
Selon la CISA, elles sont activement exploitées par le botnet Quad7, qui utilise les routeurs compromis comme proxies résidentiels pour mener d’autres opérations malveillantes, comme tester automatiquement des mots de passe faibles ou fréquemment utilisés sur de nombreux comptes en ligne (password spraying), diffuser des malwares, organiser des fraudes publicitaires ou rechercher d’autres appareils mal protégés à infecter.
Concernant la faille récemment révélée par ByteRay, tant que TP-Link n’aura pas publié la liste exacte des modèles affectés et généralisé les correctifs, le plus prudent reste de désactiver CWMP si vous ne l’utilisez pas, changer les mots de passe d’administration s’ils n’ont jamais été modifiés, contrôler régulièrement la disponibilité des mises à jour de sécurité à appliquer sans délai, et, en cas d’usage professionnel ou critique, segmenter le réseau pour isoler le routeur.
Sources : ByteRay, CISA, Bleeping Computer
