Un patch superficiel, un champ WireGuard trop permissif, et deux failles qui finissent par se répondre. Chez Forescout, les chercheurs ont tiré le fil et découvert une série de vulnérabilités critiques au cœur du firmware de routeurs TP-Link.
Les équipes de Vedere Labs chez Forescout ont mis au jour une chaîne d’exploitation préoccupante ciblant les routeurs TP-Link Omada et Festa. D’un côté, une faille d’injection de commandes arbitraires dans la config VPN WireGuard, de l’autre la résurrection d’un mécanisme de debug que l’on croyait mort et enterré. Exploitées ensemble, ces deux vulnérabilités permettent d’obtenir un accès root et de prendre le contrôle complet des routeurs concernés.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un patch inachevé et une config VPN mal fichue
Pour comprendre de quoi il retourne, il faut savoir qu’en 2024, TP-Link avait déjà dû corriger une vulnérabilité signalée par Cisco Talos (CVE-2024-21827). Le problème portait une commande de débogage intégrée au firmware, prévue pour la phase de développement et d’assistance, et qui aurait normalement dû être désactivée ou supprimée avant la mise en production des routeurs concernés. Or, ce qui devait rester confiné à un usage interne a bel et bien été livré avec les versions commercialisées du firmware, permettant d’ouvrir une session root via SSH à l’aide d’un mot de passe dérivé du nom d’utilisateur et de l’adresse MAC de l’appareil. En clair, d’obtenir un accès total au routeur, et potentiellement à tout le réseau.
Le correctif publié par TP-Link dans la foulée avait bien neutralisé l’accès direct à cette commande, mais sans supprimer proprement le code sous-jacent. En analysant la version corrigée, Forescout a ainsi démontré que la création du fichier système /usr/sbin/image_type_debug permettait de réactiver cette fonction et de restaurer le même accès administrateur que celui exploité avant 2024. Cette nouvelle itération est répertoriée sous la référence CVE-2025-7851.
L’histoire aurait pu s’arrêter là, mais les équipes de Forescout avaient également identifié en amont une faille d’injection, estampillée CVE-2025-7850, affectant l’interface web de configuration WireGuard des routeurs TP-Link. Le souci résulte ici de la manière dont le serveur web intégré au routeur traite la valeur saisie dans le champ de la clé privée : au lieu de gérer cette donnée à l’aide d’une fonction interne ou d’une API intégrée, il l’insère directement dans une ligne de commande qu’il exécute via le shell.
Or, si cette valeur contient un saut de ligne, le shell interprète ce qui suit comme une nouvelle commande, potentiellement capable d’exécuter n’importe quelle action système autorisée, de l’écriture d’un fichier à l’installation d’une porte dérobée. Selon la configuration, l’exploitation peut nécessiter une authentification, mais Forescout a confirmé que certains scénarios permettent une attaque à distance sans identifiants.
Alors quel rapport entre ces deux vulnérabilités ? Eh bien il se trouve que l’on peut combiner ces deux failles, et c’est là le plus inquiétant. Lors de leurs tests, les chercheurs ont exploité CVE-2025-7850 pour écrire le fichier image_type_debug, qui a permis de déclencher CVE-2025-7851 et d’obtenir un accès root complet au routeur. Une élévation totale de privilèges qui leur a ensuite permis d’examiner le firmware en profondeur et d’identifier plusieurs autres vulnérabilités, encore tenues secrètes, présentes dans plusieurs gammes de produits. Toutes ces découvertes additionnelles doivent faire l’objet d’une divulgation coordonnée et TP-Link prévoit des correctifs échelonnés, attendus d’ici le premier trimestre 2026.
Des correctifs en série, à appliquer sans attendre
Dans la foulée de ces révélations, TP-Link a publié des correctifs destinés à corriger les vulnérabilités CVE-2025-7850 et CVE-2025-7851, tout en déployant en parallèle une autre mise à jour de sécurité pour deux failles critiques affectant ses passerelles Omada.
Les vulnérabilités CVE-2025-6541 et CVE-2025-6542, toutes deux liées à des injections de commandes au niveau du système d’exploitation, figurent parmi les plus sérieuses recensées à ce jour sur cette gamme. La première (CVSS …6) peut être exploitée par un utilisateur disposant d’un accès à l’interface d’administration web, tandis que la seconde (CVSS 9.3) permet à un attaquant distant non authentifié d’exécuter du code arbitraire sur l’appareil.
Autrement dit, un pirate capable d’exploiter la faille la plus critique pourrait prendre le contrôle complet du routeur à distance, installer des malwares, intercepter le trafic réseau ou modifier la configuration interne de l’entreprise ciblée.
Les modèles concernés incluent notamment les ER8411, ER7412-M2, ER707-M2, ER7206, ER605, ER706W, ER706W-4G, ER7212PC, G36, G611, FR365, FR205, FR307-M2. TP-Link n’a pas signalé d’exploitation active pour le moment, mais rappelle que les attaques suivent souvent la publication des correctifs, profitant du délai avant leur déploiement effectif par les entreprises.
Le constructeur invite donc les utilisateurs et utilisatrices de ses produits à mettre immédiatement à jour leur firmware, puis à vérifier leurs configurations après redémarrage pour s’assurer qu’aucun paramètre critique n’a été altéré. Il est également recommandé de désactiver les accès distants inutiles, de restreindre les droits admin et de surveiller les journaux système pour repérer d’éventuelles anomalies.
