Un router domestico che accetta modifiche al firmware, senza chiedere credenziali. Non è lo scenario di un esercizio accademico di sicurezza. È quello che poteva succedere - e forse è successo - sui router della serie Archer NX di TP-Link, una famiglia di dispositivi con connettività 5G e Wi-Fi 6 piuttosto diffusa in Europa. TP-Link ha pubblicato il 25 marzo 2026 un avviso di sicurezza che copre quattro vulnerabilità ad alta gravità. La più critica permette a un attaccante non autenticato, sulla stessa rete locale, di caricare firmware arbitrario sul dispositivo. Tradotto: compromissione totale, silenziosa, senza che l'utente debba fare nulla.
La vulnerabilità CVE-2025-15517 ha un punteggio CVSS v4.0 di 8.6 su 10. La causa è tanto banale quanto grave: il server HTTP integrato nel router non esegue alcun controllo di autenticazione su determinati endpoint CGI - endpoint che dovrebbero essere raggiungibili solo da utenti già autenticati.
Chiunque sia collegato alla rete locale, o a portata della rete wireless, può eseguire operazioni privilegiate via HTTP senza fornire nome utente o password. Tra queste: caricare firmware e modificare la configurazione del dispositivo. Nessuna credenziale, nessuna interazione dell'utente. Tutto esposto.
TP-Link stessa descrive la falla nel proprio avviso con una franchezza rara: "A missing authentication check in the HTTP server to certain cgi endpoints allows unauthenticated access intended for authenticated users." Difficile essere più espliciti.
I modelli interessati sono quattro: Archer NX200, NX210, NX500 e NX600. TP-Link afferma che questi router non sono venduti negli Stati Uniti - il mercato principale è quello europeo. Su Amazon Germania, per dare un'idea della diffusione, il modello NX200 figurava al dodicesimo posto tra i router più venduti: un piazzamento notevole in un mercato dominato dai Fritzbox di AVM.
Chi possiede uno di questi dispositivi in Italia o in altri paesi europei è direttamente esposto. La combinazione di connettività cellulare 5G e WiFi 6 li rende attraenti per chi cerca una connessione domestica senza linea fissa. Sono dispositivi che, per loro natura, tendono a restare accesi e connessi a lungo, spesso senza supervisione - esattamente il tipo di bersaglio preferito da chi opera nell'ombra.
CVE-2025-15517 è la vulnerabilità più preoccupante, ma l'avviso di TP-Link ne elenca altre tre, tutte classificate ad alta gravità.
CVE-2025-15605 (CVSS v4.0: 8.5) riguarda una chiave crittografica inserita direttamente nel codice del firmware e utilizzata per cifrare i file di configurazione. Un attaccante autenticato può usarla per decifrare la configurazione, modificarla - inserendo per esempio una backdoor - e ricicifrarla per mascherare l'alterazione. La chiave è identica su tutti i dispositivi della serie, il che rende la cosa particolarmente insidiosa.
Le altre due, CVE-2025-15518 e CVE-2025-15519 (esiste una discrepanza tra le fonti sull'anno nel prefisso CVE, da verificare sul database NVD), sono falle di iniezione di comandi. Richiedono accesso amministrativo, ma permettono di eseguire comandi arbitrari a livello di sistema operativo attraverso le interfacce CLI di gestione wireless e del modem. Chi ha già ottenuto accesso come amministratore - magari sfruttando la prima falla - può installare malware persistente direttamente nel sistema sottostante.
Il vero pericolo emerge quando si considerano queste vulnerabilità insieme, non isolatamente. Lo scenario è lineare quanto inquietante. Un attaccante sulla rete locale sfrutta CVE-2025-15517 per caricare un firmware modificato senza autenticarsi: a quel punto ha il controllo completo del dispositivo. Se preferisce un approccio più chirurgico, usa la chiave crittografica hardcoded di CVE-2025-15605 per alterare la configurazione in modo invisibile. Le falle di iniezione di comandi completano il quadro, garantendo accesso persistente a livello di sistema operativo.
Un router compromesso così diventa un'arma versatile. Può intercettare il traffico non cifrato. Può redirigere le query DNS verso server malevoli, portando gli utenti su siti di phishing anche quando digitano l'indirizzo corretto. Può iniettare codice malevolo nelle sessioni web attive. Può essere reclutato in una botnet o usato per muoversi lateralmente nella rete domestica, puntando agli altri dispositivi collegati.
Per TP-Link, questa non è una prima volta. Il bollettino di marzo si inserisce in un curriculum di sicurezza che non ispira fiducia. A settembre 2025, l'azienda fu costretta a pubblicare in fretta e furia una patch per una vulnerabilità zero-day segnalata già a maggio 2024 - oltre un anno prima - che nel frattempo permetteva intercettazione del traffico, reindirizzamento DNS e iniezione di payload.
Sempre a settembre 2025, la CISA statunitense aggiunse due vulnerabilità TP-Link - CVE-2023-50224 e CVE-2025-9377 - al proprio catalogo di vulnerabilità sfruttate attivamente, entrambe utilizzate dalla botnet Quad7 per compromettere router su larga scala. In totale, CISA ha segnalato sei vulnerabilità TP-Link come attivamente sfruttate in attacchi reali. Sei. Per un produttore di dispositivi di rete consumer, è un numero che pesa.
TP-Link ha pubblicato il firmware correttivo attraverso il proprio portale di supporto, con un linguaggio che non lascia margini di ambiguità: "If you do not take all recommended actions, this vulnerability will remain. TP-Link cannot bear any responsibility for consequences that could have been avoided by following this advisory." Una formulazione che scarica con decisione la responsabilità sull'utente finale.
Chi possiede un Archer NX200, NX210, NX500 o NX600 dovrebbe aggiornare il firmware immediatamente, verificando la versione hardware specifica del proprio dispositivo sul sito ufficiale. Le raccomandazioni includono anche la disattivazione della gestione remota e la limitazione dell'accesso all'interfaccia di amministrazione alla sola rete interna.
Il problema di fondo, però, va oltre la singola patch. Server HTTP che espongono endpoint critici senza autenticazione, chiavi crittografiche identiche su intere linee di prodotto, interfacce CLI vulnerabili a iniezione di comandi: non sono semplici bug, sono errori di progettazione. Quando si ripetono nello stesso produttore con questa frequenza, smettono di sembrare incidenti isolati.
Fonti: Bleepingcomputer
Nessuno ha ancora commentato.
