Krytyczne luki załatane w bramkach TP-Link Omada (CVE-2025-6541/6542/7850/7851) - Security Bez Tabu

Krytyczne luki załatane w bramkach TP-Link Omada (CVE-2025-6541/6542/7850/7851)

Wprowadzenie do problemu / definicja luki

TP-Link opublikował dwa komunikaty bezpieczeństwa dotyczące bramek Omada (serie ER/G/FR), opisujące łącznie cztery podatności: dwie związane z OS Command Injection (w tym jedna możliwa bez uwierzytelnienia), jedną Command Injection po uwierzytelnieniu admina oraz wektor uzyskania powłoki root przy „ograniczonych warunkach”. Wszystkie błędy mają dostępne poprawki firmware.

W skrócie

  • CVE-2025-6542 (CVSS v4 9.3, krytyczna) – nieautoryzowane zdalne RCE przez wstrzyknięcie poleceń.
  • CVE-2025-6541 (CVSS v4 8.6, wysoka) – RCE po zalogowaniu do panelu www.
  • CVE-2025-7850 (CVSS v4 9.3, krytyczna) – wstrzyknięcie poleceń po uwierzytelnieniu admina.
  • CVE-2025-7851 (CVSS v4 8.7, wysoka) – możliwość uzyskania root shell przy spełnieniu określonych warunków.
  • Dotyczy wielu modeli Omada; TP-Link udostępnił tabelę „Affected/Fixed Version” z konkretnymi buildami firmware.

Kontekst / historia / powiązania

Producent potwierdził podatności 21 października 2025 r. i sukcesywnie publikował wersje naprawcze. Media branżowe (SecurityWeek, BleepingComputer) nagłośniły, że jedna z luk pozwala na zdalną, nieautoryzowaną egzekucję poleceń, co czyni ją atrakcyjną dla botnetów i operatorów kampanii masowych. W NVD pojawiły się wpisy dla nowych CVE (np. CVE-2025-7850).

Analiza techniczna / szczegóły luki

Zakres CVE i wektory:

  • CVE-2025-6542AV:N/AC:L/PR:N/UI:N (CVSS v4), czyli zdalnie, bez autoryzacji, niska złożoność: podatność typu OS Command Injection w interfejsie zarządzania skutkująca wykonaniem dowolnych poleceń OS.
  • CVE-2025-6541 – podobny efekt (RCE), ale wymagane jest zalogowanie do panelu www (PR:H).
  • CVE-2025-7850Command Injection po uwierzytelnieniu admina (CVSS v4 9.3).
  • CVE-2025-7851 – możliwość uzyskania root shell na systemie bazowym „w ograniczonych warunkach” (wysoka).

Modele i wersje (wybór): ER605 ≥ 2.3.1 Build 20251015, ER7206 ≥ 2.2.2 Build 20250724, ER707-M2 ≥ 1.3.1 Build 20251009, ER7412-M2 ≥ 1.1.0 Build 20251015, ER8411 ≥ 1.3.3 Build 20251013, ER7212PC ≥ 2.1.3 Build 20251016, G36 ≥ 1.1.4 Build 20251015, G611 ≥ 1.2.2 Build 20251017, FR205 ≥ 1.0.3 Build 20251016, FR307-M2 ≥ 1.2.5 Build 20251015, FR365 ≥ 1.1.10 Build 20250626. Pełną tabelę „Affected/Fixed” znajdziesz w advisory TP-Link.

Praktyczne konsekwencje / ryzyko

  • Przejęcie urządzenia i sieci: zdalne RCE bez uwierzytelnienia (CVE-2025-6542) ułatwia pełen kompromis bramki i pivot w kierunku zasobów LAN/VLAN.
  • Utrata poufności i integralności: atakujący mogą modyfikować konfigurację routingu/VPN, wstrzykiwać reguły NAT/ACL, tunelować ruch, podsłuchiwać lub przekierowywać sesje.
  • Automatyzacja ataków: realne ryzyko integracji do skanerów/botnetów skanujących Internet pod kątem paneli Omada. Media branżowe wskazują na krytyczność błędów i potencjał nadużyć.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiastowy update firmware do wersji „Fixed” wymienionych przez TP-Link (patrz tabele w advisory). W środowiskach rozproszonych rozplanuj aktualizacje w oknach serwisowych, zaczynając od urządzeń z ekspozycją internetową.
  2. Odizoluj panel zarządzania (Management VLAN, dostęp wyłącznie z sieci administracyjnej; rozważ ACL/firewall na adres IP kontrolera).
  3. Wyłącz zdalny dostęp z Internetu (HTTPS/HTTP/SSH), jeśli nie jest absolutnie potrzebny; w razie konieczności – VPN + MFA.
  4. Zmień hasła admina po aktualizacji (TP-Link zaleca to wprost przy 7850/7851). Użyj unikalnych, długich haseł i ogranicz liczbę kont uprzywilejowanych.
  5. Monitoring i detekcja:
    • przegląd logów pod kątem nietypowych zmian konfiguracyjnych, restartów, nowych kont/kluczy, nieoczekiwanych procesów;
    • wdroż NDR/IDS przy segmentach za bramką; stwórz reguły na wzorce exploitation (komendy systemowe w parametrach HTTP).
  6. Zarządzanie powierzchnią ataku: publikuj changelog sprzętu, inwentaryzuj dokładne buildy firmware i porównuj z tabelami producenta; automatyzuj sprawdzenia (np. Ansible/SSH + parsowanie wersji).
  7. Plan reakcji: jeśli podejrzewasz kompromis, wykonaj factory reset + reinstall na wersji naprawczej, odtwórz konfigurację ze zweryfikowanego backupu, wymuś rotację haseł i certyfikatów.

Różnice / porównania z innymi przypadkami

W przeszłości obserwowano kampanie masowe wykorzystujące luki RCE w urządzeniach SOHO/SMB TP-Link (dodawane do CISA KEV, wykorzystywane przez botnety). Bieżący zestaw CVE zawiera bez-auth RCE (6542), co plasuje go w grupie najbardziej krytycznych błędów – podobnie jak wcześniejsze incydenty, lecz dotyczy linii Omada używanej często w małych/średnich firmach i sieciach SDN. (Por. relacje prasowe nt. wcześniejszych fal ataków na TP-Link).

Podsumowanie / kluczowe wnioski

  • Krytyczna luka CVE-2025-6542 umożliwia zdalne, nieautoryzowane RCE; pozostałe trzy CVE eskalują skutki po uwierzytelnieniu.
  • Patch now: zaktualizuj ER/G/FR do wersji „Fixed”, ogranicz dostęp do panelu, zmień hasła i monitoruj anomalie.
  • Traktuj urządzenia brzegowe jak krytyczne elementy SOC: telemetria, segmentacja, minimalny dostęp i szybkie cykle łatania.

Źródła / bibliografia

  • TP-Link Omada: Statement on OS command injection vulnerabilities (CVE-2025-6541/6542), 21.10.2025. (Omada Networks Support)
  • TP-Link Omada: Statement on command injection and root access vulnerabilities (CVE-2025-7850/7851), 21.10.2025. (Omada Networks Support)
  • SecurityWeek: Critical Vulnerabilities Patched in TP-Link’s Omada Gateways, 22.10.2025. (SecurityWeek)
  • BleepingComputer: TP-Link warns of critical command injection flaw in Omada gateways, 22.10.2025. (BleepingComputer)
  • NVD: CVE-2025-7850 – szczegóły i metryka CVSS v4.0, 20–22.10.2025. (NVD)