New TP-Link zero-day surfaces as CISA warns other flaws are exploited

2 minute de lecture

Mis à jour : September 04, 2025

Vulnérabilité Zéro-Jour sur les Routeurs TP-Link et Exploitation d’Anciennes Failles

Une faille de sécurité critique, actuellement non corrigée (zéro-jour), a été découverte sur plusieurs modèles de routeurs TP-Link. Cette vulnérabilité, un débordement de tampon dans l’implémentation du protocole CWMP (CPE WAN Management Protocol), permet potentiellement une exécution de code à distance. La faille a été identifiée par le chercheur Mehrun (ByteRay) et signalée à TP-Link le 11 mai 2024. Bien qu’un correctif soit déjà développé pour les modèles européens, des mises à jour pour les versions américaines et internationales sont en cours, sans date de sortie précise annoncée. Les modèles TP-Link Archer AX10 et Archer AX1500 ont été confirmés comme vulnérables, avec d’autres modèles potentiellement affectés.

Parallèlement, l’agence CISA a alerté sur l’exploitation active de deux autres vulnérabilités TP-Link, ajoutées à son catalogue des vulnérabilités connues et exploitées. Il s’agit d’une faille de contournement d’authentification (CVE-2023-50244) et d’une faille d’injection de commande (CVE-2025-9377). Ensemble, ces failles permettent à des acteurs malveillants d’obtenir une exécution de code à distance sur les appareils vulnérables. Le botnet Quad7 exploiterait ces failles depuis 2023 pour transformer les routeurs compromis en proxys et relais de trafic, facilitant ainsi des attaques dissimulées. Récemment, ces routeurs ont également été utilisés par des acteurs menaçants pour des attaques par pulvérisation de mots de passe visant à voler des identifiants.

Points Clés :

Une nouvelle vulnérabilité zéro-jour, non corrigée, affecte plusieurs routeurs TP-Link.
La faille est un débordement de tampon dans le protocole CWMP, permettant potentiellement une exécution de code à distance.
Deux autres failles TP-Link (CVE-2023-50244 et CVE-2025-9377) sont activement exploitées par le botnet Quad7.
Ces anciennes failles, lorsqu’elles sont combinées, permettent également l’exécution de code à distance.
Les routeurs compromis sont utilisés pour relayer des attaques et voler des informations d’identification.

Vulnérabilités :

Zéro-jour (non nommée, pas de CVE attribué) : Débordement de tampon basé sur la pile dans l’implémentation CWMP de TP-Link.
- Cause : Absence de vérification des limites dans les appels à ‘strncpy’ lors du traitement des messages SOAP SetParameterValues.
- Modèles potentiellement affectés : TP-Link Archer AX10, Archer AX1500, EX141, Archer VR400, TD-W9970, et d’autres.
CVE-2023-50244 : Contournement d’authentification.
CVE-2025-9377 : Injection de commande.

Recommandations :

Maintenir les appareils à jour avec le dernier firmware disponible via les canaux officiels.
Changer les mots de passe administrateur par défaut.
Désactiver le protocole CWMP si son utilisation n’est pas nécessaire.
Si possible, segmenter le routeur des réseaux critiques.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

New TP-Link zero-day surfaces as CISA warns other flaws are exploited

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast