CVE-2025-9961

Exploitation d’une faille critique sur les routeurs TP-Link

Une vulnérabilité critique, identifiée sous la référence CVE-2025-9961, a été découverte dans les routeurs TP-Link. Cette faille permet à un attaquant distant et authentifié d’exécuter du code arbitraire sur les appareils vulnérables, ouvrant la voie à de graves compromissions.

Points Clés :

• Nature de la vulnérabilité : Exécution de code à distance (RCE).
• Protocole affecté : CWMP (CPE WAN Management Protocol).
• Mécanisme d’exploitation : Envoi de requêtes SOAP malformées.
• Cause technique : Dépassement de tampon basé sur la pile (stack-based buffer overflow) dans le processus “cwmp”.
• Contournement des protections : L’attaquant peut contourner l’aléatorisation de l’espace d’adressage (ASLR) par force brute de l’adresse de base de la bibliothèque C standard.
• Technique d’attaque courante : Utilisation de la technique “return-to-libc” (ret2libc) pour appeler la fonction system() et télécharger/exécuter un binaire malveillant.

Vulnérabilité :

• CVE : CVE-2025-9961

Impact :

L’exploitation réussie de cette faille confère à l’attaquant le contrôle total du routeur, lui permettant potentiellement :

• D’intercepter le trafic réseau.
• De lancer des attaques sur le réseau local.
• D’intégrer le routeur compromis dans un botnet.

Recommandations :

Bien que l’article ne détaille pas spécifiquement les mesures correctives, il est impératif pour les utilisateurs de routeurs TP-Link de :

• Appliquer les mises à jour de firmware dès qu’elles sont disponibles.
• Renforcer la sécurité des identifiants d’accès à l’interface d’administration.
• Désactiver les fonctionnalités CWMP non essentielles si possible, bien que cela puisse impacter la gestion à distance par l’opérateur.

Source