Две новые критические уязвимости в маршрутизаторах TP-Link Omada могут позволить злоумышленникам получить полный root-доступ и выполнять произвольные команды на уровне операционной системы. Обнаруженные уязвимости уже эксплуатируются в реальных атаках, что требует немедленного обновления прошивок от владельцев оборудования.
Детали уязвимостей
Уязвимости CVE-2025-7850 и CVE-2025-7851 затрагивают широкий спектр шлюзов Omada, включая популярные модели ER8411, ER605, ER7206 и другие. Первая уязвимость представляет собой инъекцию команд (command injection) через веб-интерфейс управления устройствами. Для её эксплуатации злоумышленнику требуется доступ к административной панели с правами администратора, однако после авторизации никаких дополнительных действий от пользователя не требуется.
CVE-2025-7851 позволяет получить root-доступ к операционной системе маршрутизатора. Особую опасность представляет возможность объединения этих уязвимостей в цепочку атаки - сначала используя инъекцию команд, а затем усиливая привилегии до root-уровня. Такой сценарий дает злоумышленникам практически неограниченный контроль над устройством.
Список затронутых моделей включает ER8411 с прошивками старше версии 1.3.3 Build 20251013 Rel.44647, ER7412-M2 до версии 1.1.0 Build 20251015 Rel.63594, ER707-M2 до версии 1.3.1 Build 20251009 Rel.67687, а также модели ER7206, ER605, ER706W, ER706W-4G, ER7212PC, G36, G611, FR365, FR205 и FR307-M2. Для каждой из этих моделей TP-Link уже выпустила обновления безопасности.
Исследователи из Truesec сообщают, что эксплуатация уязвимостей уже зафиксирована в реальных атаках. Более того, в открытом доступе ранее появлялось доказательство концепции (proof-of-concept) эксплойта, что значительно упрощает работу злоумышленников. Это повышает актуальность проблемы и требует немедленных действий от администраторов и владельцев оборудования.
Эксперты по кибербезопасности рекомендуют немедленно установить последние версии прошивок для всех затронутых устройств. Дополнительной мерой защиты может стать развертывание межсетевых экранов веб-приложений (web application firewalls) перед интерфейсами управления для фильтрации вредоносного (malicious) трафика и блокировки попыток инъекции команд.
Также рекомендуется по возможности отключать удаленное администрирование для снижения поверхности атаки. Если удаленный доступ необходим для эксплуатации, следует обеспечить его только через VPN с строгими правилами контроля доступа. Особое внимание стоит уделить мониторингу необычной активности в интерфейсах управления маршрутизаторами.
Проблема уязвимостей в сетевом оборудовании приобретает особую значимость в контексте растущего числа атак на сетевую инфраструктуру. Получение контроля над маршрутизатором позволяет злоумышленникам не только перехватывать трафик, но и использовать устройство в качестве плацдарма для атак на внутреннюю сеть организации. В случае с программами-вымогателями (ransomware) такой доступ может привести к полной компрометации корпоративной инфраструктуры.
Владельцам оборудования TP-Link Omada следует немедленно проверить версии прошивок и установить доступные обновления. Для моделей, где патчи еще не выпущены, рекомендуется рассмотреть временные меры защиты, включая ограничение доступа к веб-интерфейсу управления только с доверенных сетей и усиление мониторинга сетевой активности.
Производитель TP-Link оперативно отреагировал на обнаруженные уязвимости, выпустив исправления для большинства затронутых моделей. Однако практика показывает, что многие пользователи откладывают обновление прошивок, что создает значительные риски для безопасности не только отдельных устройств, но и всей сетевой инфраструктуры.
Обновление прошивок должно стать приоритетной задачей для всех организаций, использующих затронутые модели маршрутизаторов TP-Link Omada. Регулярное обновление программного обеспечения сетевых устройств является базовой мерой кибергигиены и критически важно для поддержания безопасности корпоративных сетей в современных условиях постоянно развивающихся киберугроз.
Ссылки
- https://github.com/ByteHawkSec/CVE-2025-7850-POC
- https://www.cve.org/CVERecord?id=CVE-2025-7850
- https://www.cve.org/CVERecord?id=CVE-2025-7851
- https://support.omadanetworks.com/en/document/108456/
- https://www.omadanetworks.com/us/business-networking/all-omada-router/
- https://www.omadanetworks.com/us/business-networking/omada-pro-router-wired-router/
- https://www.tp-link.com/us/business-networking/soho-festa-gateway/
