Компания TP-Link выпустила срочное уведомление по безопасности, в котором описаны четыре уязвимости высокой степени опасности в роутерах серии Archer. Обнаруженные недостатки позволяют злоумышленникам обходить аутентификацию, выполнять произвольные команды на уровне операционной системы устройства и манипулировать критически важными конфигурационными файлами. Данный инцидент затрагивает модели домашнего и малого офиса, что ставит под угрозу безопасность персональных данных и корпоративных сетей тысяч пользователей по всему миру, за исключением США, где эти модели официально не продавались.
Детали уязвимостей
Под прицелом исследователей и потенциальных атакующих оказались четыре модели: Archer NX200, NX210, NX500 и NX600. Успешная эксплуатация любой из обнаруженных проблем открывает путь к полному контролю над маршрутизатором. Для специалистов по информационной безопасности этот случай важен как пример того, как относительно простые ошибки в коде и архитектуре потребительского сетевого оборудования могут привести к катастрофическим последствиям, включая утечку трафика, создание ботнетов или блокировку доступа в интернет.
Детальный анализ уязвимостей показывает разнообразие атакующих векторов. Первая и наиболее опасная проблема получила идентификатор CVE-2025-15517 и оценку 8,6 балла по шкале CVSS. Она представляет собой обход авторизации в конечных точках HTTP-сервера устройства. Это означает, что злоумышленник, не имея логина и пароля, может отправить на роутер специально сформированный запрос и получить права на выполнение привилегированных действий. В число таких действий входит загрузка собственной, возможно, вредоносной прошивки, что равносильно полному захвату устройства, а также изменение конфигурации сети, например, перенаправление трафика на серверы атакующего.
Следующие две уязвимости, CVE-2026-15518 и CVE-2026-15519, имеют схожий механизм, но требуют иного уровня доступа. Обе с оценкой 8,5 баллов относятся к классу инъекций команд. Разница заключается лишь в компоненте, который подвержен атаке: в одном случае это интерфейс командной строки для управления беспроводными сетями, а в другом - для управления модемом. Однако суть остается прежней: аутентифицированный злоумышленник, имеющий доступ к веб-интерфейсу администратора, может ввести в определенные поля нестандартные данные, которые система воспримет как команды для исполнения на уровне операционной системы. Это позволяет запускать произвольный код, читать системные файлы и получать еще больше контроля над устройством.
Четвертая проблема, CVE-2025-15605, также оцененная в 8,5 баллов, носит иной характер и связана с ошибкой в реализации криптографии. В механизме конфигурации устройств был обнаружен статический, так называемый "зашитый" криптографический ключ. Зная этот ключ, аутентифицированный атакующий может расшифровать резервные копии конфигурации маршрутизатора, внести в них произвольные вредоносные изменения, а затем снова зашифровать и загрузить обратно. Подобная манипуляция может оставаться незамеченной долгое время, позволяя злоумышленнику сохранять закрепление в системе и скрытно управлять сетевыми настройками.
С практической точки зрения, совокупность этих уязвимостей создает идеальный шторм для владельцев затронутых устройств. Злоумышленник может сначала использовать уязвимость обхода авторизации для получения прав администратора, затем применить инъекцию команд для установки постоянного доступа, а с помощью слабого шифрования - надежно скрыть следы своего присутствия. Последствия для конечного пользователя или небольшой компании могут быть крайне серьезными: полная потеря конфиденциальности интернет-трафика, перехват паролей и банковских данных, использование устройства в распределенных атаках типа "отказ в обслуживании" или шифрование настроек с требованием выкупа.
В ответ на обнаруженные угрозы TP-Link оперативно выпустила исправления. Пользователям критически важно проверить модель и аппаратную версию своего роутера, а затем установить соответствующее обновление прошивки. Для каждой модели и ревизии предусмотрена своя версия исправления. Например, для Archer NX600 аппаратной версии 1.0 необходимо обновиться до прошивки 1.4.0 Build 260311, а для версии 3.0 - до 1.3.0 Build 260309. Аналогичные патчи выпущены для остальных затронутых моделей. Компания настоятельно рекомендует загружать обновления исключительно с официального портала поддержки, чтобы избежать риска установки скомпрометированного ПО.
В целом, данный инцидент служит очередным напоминанием о важности регулярного обновления встроенного программного обеспечения не только компьютеров и смартфонов, но и сетевой инфраструктуры. Маршрутизатор, будучи шлюзом между внутренней сетью и интернетом, является стратегически важной целью для атакующих. Промедление с установкой исправлений оставляет сеть открытой для потенциального захвата, несанкционированных изменений конфигурации и полного выхода устройства из-под контроля владельца, что в современном цифровом мире равносильно потере безопасности всего домашнего или офисного цифрового пространства.
Ссылки
- https://www.tp-link.com/us/support/faq/5027/
- https://www.cve.org/CVERecord?id=CVE-2025-15517
- https://www.cve.org/CVERecord?id=CVE-2025-15605
