Router TP-Link vulnerabili: falla critica consente accesso senza login. I modelli interessati

I router domestici e professionali rappresentano uno dei punti più delicati dell’infrastruttura digitale. Sono dispositivi che concentrano funzioni critiche – routing, firewall, gestione wireless – su piattaforme spesso caratterizzate da cicli di aggiornamento lenti. La crescente diffusione di soluzioni WiFi 6 e WiFi 7 ha ampliato ulteriormente la superficie d’attacco, con il risultato che molti dispositivi con qualche anno sulle spalle risultano ormai scarsamente seguiti dai rispettivi produttori.

Non è il caso di TP-Link che con un recente avviso di sicurezza ha confermato che i router della serie Archer NX, piuttosto recente, soffrono di un problema di bypass dell’autenticazione (consente accessi non autorizzati a funzioni amministrative).

Dettagli tecnici della vulnerabilità nei router TP-Link Archer NX

La falla principale, identificata come CVE-2025-15517, deriva da un controllo di autenticazione mancante all’interno di specifici endpoint HTTP esposti dal Web server integrato nel router.

In condizioni normali, tali endpoint dovrebbero risultare accessibili solo dopo autenticazione attraverso l’interfaccia amministrativa. Tuttavia, una logica incompleta consente richieste dirette verso risorse CGI senza verifica delle credenziali, aprendo la strada a operazioni con diritti elevati eseguite da utenti non autenticati.

Tra le azioni possibili rientrano il caricamento di firmware, la modifica della configurazione e l’esecuzione di operazioni amministrative.

L’impatto risulta elevato perché la vulnerabilità in questione non richiede interazione dell’utente né privilegi preesistenti. Il punteggio CVSS 8.6 riflette un rischio concreto in ambienti domestici e small office, dove la segmentazione di rete risulta spesso assente.

Modelli coinvolti e catena di attacco

I dispositivi interessati appartengono alla famiglia Archer NX, in particolare NX200, NX210, NX500 e NX600, router che integrano connettività 5G e WiFi 6. Sono prodotti che risultano particolarmente diffusi nel mercato europeo, dove vengono utilizzati sia in ambito domestico sia in contesti professionali.

Un aggressore che si trovi nella stessa rete locale può sfruttare la vulnerabilità per inviare richieste HTTP direttamente al router, evitando completamente la schermata di login. In scenari più complessi, l’attacco può avvenire anche tramite dispositivi compromessi all’interno della LAN, come smart TV, telecamere IP o altri nodi IoT.

Una volta ottenuto l’accesso, l’aggressore può trasformare il router in un punto di controllo per attività malevole come intercettazione del traffico, DNS hijacking o inserimento in botnet.

La presenza di vulnerabilità aggiuntive, come le iniezioni di comando tracciate con gli identificativi CVE-2025-15518 e CVE-2025-15519, amplifica ulteriormente il rischio. In tali casi, un aggressore autenticato può eseguire comandi a livello di sistema operativo sfruttando input non validati nei percorsi CLI interni.

Cause strutturali e pattern ricorrenti

Il difetto osservato rientra nella categoria CWE-306, ovvero assenza di controlli di autenticazione su risorse critiche. L’errore emerge spesso in firmware che integrano componenti legacy o codice riutilizzato senza una revisione completa.

Nei router TP-Link, analoghe problematiche sono già emerse in passato, sia nel protocollo proprietario TDDP sia nella gestione degli header HTTP. In diversi casi, il sistema accetta richieste amministrative senza verificare la validità della sessione o dell’origine, consentendo accessi non autorizzati anche con semplici manipolazioni delle richieste.

Mitigazioni e aggiornamenti firmware

TP-Link ha rilasciato aggiornamenti firmware che correggono le vulnerabilità individuate. L’installazione delle versioni più recenti risolve il problema introducendo controlli di autenticazione più rigorosi sugli endpoint HTTP e correggendo le logiche di validazione delle richieste.

Oltre all’aggiornamento, alcune misure riducono il rischio residuo. La disattivazione dell’accesso remoto alla console amministrativa limita l’esposizione verso Internet. La segmentazione della rete locale, separando dispositivi IoT e client principali, riduce la possibilità di attacchi laterali. L’uso di password robuste e la verifica periodica delle configurazioni completano il quadro difensivo.

Un elemento spesso trascurato riguarda il monitoraggio degli eventi di sistema. Riavvii improvvisi, reset di configurazione o modifiche inattese alle impostazioni possono indicare un tentativo di sfruttamento della vulnerabilità.

La falla è sfruttabile da remoto?

La vulnerabilità di authentication bypass nei router TP-Link Archer NX nasce su endpoint HTTP dell’interfaccia di gestione. In configurazione standard, questa interfaccia è esposta solo sulla rete locale, quindi un attaccante esterno su Internet non può sfruttarla direttamente. È un aspetto che nei pezzi allarmistici è raramente evidenziato.

Tuttavia, se il router ha l’accesso remoto abilitato allora la situazione cambia radicalmente. In quel caso l’interfaccia Web diventa raggiungibile da Internet e la vulnerabilità può essere sfruttata da remoto senza autenticazione. Basta conoscere l’indirizzo IP pubblico del dispositivo.

Un secondo scenario realistico riguarda l’abuso indiretto. Anche senza accesso remoto attivo, un attaccante può comunque arrivare al router passando da un dispositivo interno già compromesso. È necessario infettare un client della rete locale – per esempio tramite phishing, malware su PC o exploit su un dispositivo IoT – e usare quel punto di accesso per inviare richieste HTTP verso il router. Da lì si può attivare il bypass dell’autenticazione.

Esiste poi un terzo vettore meno immediato ma tecnicamente plausibile: attacchi basati su CSRF (Cross-site request forgery) o tecniche simili. Se un utente collegato alla rete visita una pagina malevola, uno script può tentare di inviare richieste al router sfruttando il browser come intermediario. In presenza della falla, l’assenza di controlli robusti aumenta la probabilità di successo.