Компания TP-Link выпустила обновления безопасности для устранения четырех уязвимостей в своих шлюзовых устройствах Omada. Два из этих дефектов имеют критический статус и позволяют удаленно выполнять произвольный код (RCE). Однако анализ, проведенный специалистами по безопасности, показал, что проблема гораздо глубже, чем кажется на первый взгляд.
Две наиболее опасные уязвимости, получившие оценку 9.3 по шкале CVSS, — это CVE-2025-6542 и CVE-2025-7850. Первая позволяет удаленному злоумышленнику без аутентификации выполнять произвольные команды в операционной системе устройства. Вторая, CVE-2025-7850, предоставляет те же возможности атакующему, который владеет паролем администратора для веб-портала.
Две другие уязвимости также представляют серьезную угрозу. CVE-2025-6541 (CVSS 8.6) является ошибкой внедрения команд ОС, которую может использовать злоумышленник, вошедший в веб-интерфейс управления. Уязвимость CVE-2025-7851 (CVSS 8.7) связана с неправильным управлением привилегиями и позволяет при определенных условиях получить корневой доступ (root shell) к базовой операционной системе.
В официальном заявлении TP-Link говорится: «Злоумышленники могут выполнять произвольные команды в базовой операционной системе устройства». Компания настоятельно рекомендует пользователям незамедлительно загрузить и установить последние версии прошивок. После обновления необходимо «проверить конфигурации устройства, чтобы убедиться, что все настройки остаются точными, безопасными и соответствуют их предполагаемым предпочтениям». TP-Link также сняла с себя ответственность за «любые последствия, которые могут возникнуть, если вышеупомянутые рекомендуемые действия не будут выполнены». На данный момент компания не сообщала о случаях эксплуатации этих уязвимостей.
Исследователи Станислав Дашевский и Франческо Ла Спина из Forescout Research Vedere Labs 23 октября 2025 года представили более глубокий анализ ситуации. Их отчет, которым они поделились с The Hacker News, раскрывает, что уязвимости CVE-2025-7850 и CVE-2025-7851 возникли в результате неполного исправления предыдущей проблемы безопасности, CVE-2024-21827. Это создало новые векторы для атак.
Технически, CVE-2025-7850 вызвана неправильной обработкой закрытого ключа WireGuard VPN в веб-интерфейсе, что позволяет аутентифицированному пользователю выполнять команды от имени root. Критически важно, что в некоторых конфигурациях эту уязвимость можно использовать и без действительных учетных данных. В свою очередь, CVE-2025-7851 эксплуатирует скрытую функциональность — остаточный отладочный код в бинарном файле
Самым тревожным открытием Forescout стало то, что в устройствах TP-Link существуют и другие, еще не исправленные уязвимости. Большинство из них являются критическими и могут быть использованы удаленно. Ожидается, что исправления для этих новых угроз будут выпущены не ранее первого квартала 2026 года. Исследователи отмечают общую для индустрии проблему: производители часто исправляют только конкретные уязвимости, о которых им сообщили, не проводя полного «устранения первопричины», что оставляет системные недостатки, позволяющие злоумышленникам находить новые варианты атак.
Для защиты необходимо обновить прошивку на следующих устройствах до указанных или более новых версий:
ER7412-M2: 1.1.0 Build 20251015 Rel.63594
ER707-M2: 1.3.1 Build 20251009 Rel.67687
ER7206: 2.2.2 Build 20250724 Rel.11109
ER605: 2.3.1 Build 20251015 Rel.78291
ER706W: 1.2.1 Build 20250821 Rel.80909
ER706W-4G: 1.2.1 Build 20250821 Rel.82492
ER7212PC: 2.1.3 Build 20251016 Rel.82571
G36: 1.1.4 Build 20251015 Rel.84206
G611: 1.2.2 Build 20251017 Rel.45512
FR365: 1.1.10 Build 20250626 Rel.81746
FR205: 1.0.3 Build 20251016 Rel.61376
FR307-M2: 1.2.5 Build 20251015 Rel.76743
Изображение носит иллюстративный характер
Две наиболее опасные уязвимости, получившие оценку 9.3 по шкале CVSS, — это CVE-2025-6542 и CVE-2025-7850. Первая позволяет удаленному злоумышленнику без аутентификации выполнять произвольные команды в операционной системе устройства. Вторая, CVE-2025-7850, предоставляет те же возможности атакующему, который владеет паролем администратора для веб-портала.
Две другие уязвимости также представляют серьезную угрозу. CVE-2025-6541 (CVSS 8.6) является ошибкой внедрения команд ОС, которую может использовать злоумышленник, вошедший в веб-интерфейс управления. Уязвимость CVE-2025-7851 (CVSS 8.7) связана с неправильным управлением привилегиями и позволяет при определенных условиях получить корневой доступ (root shell) к базовой операционной системе.
В официальном заявлении TP-Link говорится: «Злоумышленники могут выполнять произвольные команды в базовой операционной системе устройства». Компания настоятельно рекомендует пользователям незамедлительно загрузить и установить последние версии прошивок. После обновления необходимо «проверить конфигурации устройства, чтобы убедиться, что все настройки остаются точными, безопасными и соответствуют их предполагаемым предпочтениям». TP-Link также сняла с себя ответственность за «любые последствия, которые могут возникнуть, если вышеупомянутые рекомендуемые действия не будут выполнены». На данный момент компания не сообщала о случаях эксплуатации этих уязвимостей.
Исследователи Станислав Дашевский и Франческо Ла Спина из Forescout Research Vedere Labs 23 октября 2025 года представили более глубокий анализ ситуации. Их отчет, которым они поделились с The Hacker News, раскрывает, что уязвимости CVE-2025-7850 и CVE-2025-7851 возникли в результате неполного исправления предыдущей проблемы безопасности, CVE-2024-21827. Это создало новые векторы для атак.
Технически, CVE-2025-7850 вызвана неправильной обработкой закрытого ключа WireGuard VPN в веб-интерфейсе, что позволяет аутентифицированному пользователю выполнять команды от имени root. Критически важно, что в некоторых конфигурациях эту уязвимость можно использовать и без действительных учетных данных. В свою очередь, CVE-2025-7851 эксплуатирует скрытую функциональность — остаточный отладочный код в бинарном файле
cli_server, — чтобы разрешить несанкционированный вход по SSH с правами root. Самым тревожным открытием Forescout стало то, что в устройствах TP-Link существуют и другие, еще не исправленные уязвимости. Большинство из них являются критическими и могут быть использованы удаленно. Ожидается, что исправления для этих новых угроз будут выпущены не ранее первого квартала 2026 года. Исследователи отмечают общую для индустрии проблему: производители часто исправляют только конкретные уязвимости, о которых им сообщили, не проводя полного «устранения первопричины», что оставляет системные недостатки, позволяющие злоумышленникам находить новые варианты атак.
Для защиты необходимо обновить прошивку на следующих устройствах до указанных или более новых версий:
ER7412-M2: 1.1.0 Build 20251015 Rel.63594
ER707-M2: 1.3.1 Build 20251009 Rel.67687
ER7206: 2.2.2 Build 20250724 Rel.11109
ER605: 2.3.1 Build 20251015 Rel.78291
ER706W: 1.2.1 Build 20250821 Rel.80909
ER706W-4G: 1.2.1 Build 20250821 Rel.82492
ER7212PC: 2.1.3 Build 20251016 Rel.82571
G36: 1.1.4 Build 20251015 Rel.84206
G611: 1.2.2 Build 20251017 Rel.45512
FR365: 1.1.10 Build 20250626 Rel.81746
FR205: 1.0.3 Build 20251016 Rel.61376
FR307-M2: 1.2.5 Build 20251015 Rel.76743
