TP-Link hat vier Sicherheitslücken in Gateways der Omada-Serie veröffentlicht. Besonders kritisch ist CVE-2025-6542 mit einem CVSS-Score von 9,3: Die Schwachstelle ermöglicht Remote Code Execution (RCE) ohne Authentifizierung und kann zur vollständigen Übernahme des Geräts führen. Ebenfalls gravierend ist CVE-2025-6541 (CVSS 8,6), die nach Anmeldung im Web-Interface die Ausführung von OS-Kommandos erlaubt. TP-Link stellt Firmware-Updates bereit und empfiehlt eine sofortige Aktualisierung aller betroffenen Modelle.
Betroffene TP-Link-Modelle und Plattformkontext
Die Lücken betreffen 13 Omada-Gateway-Modelle aus den ER-, G- und FR-Reihen: ER8411, ER7412-M2, ER707-M2, ER7206, ER605, ER706W, ER706W-4G, ER7212PC, G36, G611, FR365, FR205 und FR307-M2. Diese Geräte vereinen Router-, Firewall- und VPN-Funktionalität und werden im SMB-Umfeld häufig als Perimeter-Gateways eingesetzt – entsprechend hoch ist ihre Sicherheitsrelevanz für Verfügbarkeit, Vertraulichkeit und Integrität der gesamten Umgebung.
Schweregrad, Angriffspfade und Auswirkungen der CVEs
CVE-2025-6542 erlaubt Angreifern aus dem Internet, ohne gültige Zugangsdaten beliebige Befehle auf dem Gateway auszuführen, potenziell mit Root-Rechten. CVE-2025-6541 erfordert zwar eine Authentifizierung im Management-Interface, führt jedoch ebenfalls zur Kommandausführung auf Betriebssystemebene. Konsequenzen reichen von Datendiebstahl und lateralem Bewegen in der Infrastruktur bis hin zu dauerhafter Persistenz auf dem Gerät. Im MITRE ATT&CK-Kontext entsprechen die Vektoren typischerweise T1190 (Exploit Public-Facing Application) und T1059 (Command and Scripting Interpreter).
Beispielhafter Angriffsablauf auf Perimeter-Gateways
In der Praxis beginnt die Ausnutzung oft mit dem Scannen öffentlicher IPs nach verwundbaren Firmware-Ständen. Anschließend wird die RCE-Lücke zum Starten von Befehlen genutzt, ein Backdoor oder Implant platziert und die Persistenz über Neustarts hinweg konfiguriert. Es folgen interne Aufklärung, das Sammeln von Zugangsdaten und der schrittweise Vorstoß in weitere Segmente bis zur Exfiltration sensibler Daten. Solche Ketten sind bei Erpressungs- und APT-Akteuren etabliert und finden sich in Branchenberichten von CISA, ENISA und Verizon seit Jahren als wesentliche Einstiegsroute über exponierte Geräte.
Risiko fuer SMBs: Warum Gateways ein hohes Angriffsziel sind
Omada-Gateways verwalten Routing, Firewall-Policies und VPNs, speichern Konfigurationen, Benutzerlisten und Schlüsselmaterial und terminieren verschlüsselten Verkehr. Eine Kompromittierung eröffnet die Möglichkeit, Traffic abzugreifen, Regeln umzuschreiben und Tunnel zu missbrauchen. Angriffe auf Perimetergeräte werden häufig priorisiert, da sie als Eintrittspunkt und Langzeit-Anker dienen. Sicherheitsbehörden betonen wiederholt, dass bekannte Schwachstellen in Edge-Systemen nach Veröffentlichung oft schnell weaponisiert werden; der zeitnahe Patch-Prozess ist daher entscheidend (vgl. NIST SP 800-40, CIS Controls).
Empfohlene Gegenmassnahmen und Härtungsschritte
Firmware sofort aktualisieren: Spielen Sie die von TP-Link veröffentlichten Versionen auf allen betroffenen Modellen ein. Prüfen Sie nach dem Update die Firewall-Policies, Routing sowie VPN-Benutzer und -Schlüssel auf Unstimmigkeiten.
Management-Zugriff minimieren: Beschränken Sie das Web-Interface auf vertrauenswürdige Admin-Netze, deaktivieren Sie Remote-Administration von externen Adressen und aktivieren Sie umfassendes Logging.
Zugangsdaten und Rollen bereinigen: Setzen Sie Admin-Passwörter und Schlüssel neu, aktivieren Sie 2FA am Omada-Controller, überprüfen Sie Konten und entfernen Sie inaktive Zugänge. Implementieren Sie Least Privilege für Administrationsrollen.
Monitoring und Forensik: Prüfen Sie rückwirkend Ereignisprotokolle auf Anomalien, fehlgeschlagene/ungewöhnliche Logins und verdächtige Kommandorufe. Integrieren Sie Alarme in SIEM/IDS und überwachen Sie Zugriffe auf das Management-Interface.
Resilienz am Perimeter: Sichern Sie Konfigurationen versioniert, führen Sie regelmäßige Exposure-Audits der öffentlich erreichbaren Dienste durch und dokumentieren Sie einen Standard-Patch-Zyklus mit beschleunigter Behandlung kritischer CVEs.
TP-Link schließt mit den aktuellen Releases alle vier gemeldeten Schwachstellen. Ein rasches Einspielen der Firmware, die Reduktion der Angriffsoberfläche im Management und ein verstärktes Monitoring senken das Risiko signifikant. Organisationen sollten Vendor-Advisories abonnieren, Patching in den regulären Betrieb verankern und Perimeter-Gateways als geschäftskritische Assets behandeln, um die eigene Resilienz nachhaltig zu stärken.
