TP-Link сообщила о четырёх уязвимостях в шлюзах серии Omada, две из которых позволяют выполнять произвольные команды на устройстве и получать привилегии уровня root. Наиболее опасная, CVE-2025-6542 с оценкой 9,3 по CVSS, может быть эксплуатирована удалённо и без какой-либо аутентификации. Вторая, CVE-2025-6541 с баллом 8,6, требует входа в веб-интерфейс управления. Производитель выпустил обновления прошивки для устранения всех выявленных проблем и настоятельно рекомендует как можно скорее их установить.
Какие устройства TP-Link Omada затронуты
Под воздействием находятся 13 моделей шлюзов Omada из линеек ER, G и FR с различными версиями прошивок. В список входят: ER8411, ER7412-M2, ER707-M2, ER7206, ER605, ER706W, ER706W-4G, ER7212PC, G36, G611, FR365, FR205 и FR307-M2. Эти устройства позиционируются как единая платформа маршрутизатора, межсетевого экрана и VPN-шлюза для малого и среднего бизнеса (SMB), а значит, часто находятся на периметре сети и имеют повышенную значимость для устойчивости инфраструктуры.
Серьёзность и векторы атак: что делают CVE-2025-6542 и CVE-2025-6541
Критическая CVE-2025-6542 позволяет злоумышленнику из интернета выполнить произвольные команды на шлюзе без учётных данных, что потенциально ведёт к полной компрометации устройства. Уязвимость CVE-2025-6541 эксплуатируется после аутентификации в веб-интерфейсе, но так же обеспечивает выполнение команд на уровне базовой ОС. По данным TP-Link, успешная эксплуатация обеих проблем может привести к краже данных, боковому перемещению внутри сети и закреплению злоумышленника в системе. В отдельном бюллетене компания также сообщила ещё о двух уязвимостях; свежие прошивки устраняют сразу все четыре проблемы.
Риски для бизнеса и почему это важно
Компрометация сетевого шлюза — это риск утраты конфиденциальности и целостности всей корпоративной сети. Устройство на периметре часто имеет доступ к внутренним сегментам, хранит конфигурации, списки VPN-пользователей и ключи, а также управляет трафиком. При RCE атакующий получает возможность перехватывать соединения, перенастраивать правила файрвола, проводить сквозную инспекцию трафика, внедрять бэкдоры и беспрепятственно перемещаться между сегментами сети. Подобные векторы регулярно используются в реальных инцидентах как криминальными группами, так и целевыми операторами угроз, поскольку устройства на границе сети становятся «точкой входа» и длительного закрепления.
Типичный сценарий эксплуатации
На практике атака начинается со сканирования внешних интерфейсов в поиске уязвимых версий прошивок. Далее эксплуатируется уязвимость для запуска команд в ОС шлюза, разворачивается вредоносный код или backdoor, настраивается сохранение доступа после перезагрузки и проводится разведка внутренних подсетей. Следующий этап — сбор учётных данных, продвижение вглубь инфраструктуры и эксфильтрация данных. В условиях SMB такой сценарий нередко приводит к перебоям в работе сервисов, простою и финансовым потерям.
Рекомендации по защите и проверкам после обновления
Немедленно обновите прошивку всех затронутых моделей до последних версий, опубликованных TP-Link. После установки обновлений проверьте корректность конфигураций: политики файрвола, маршрутизацию, списки VPN-пользователей и ключи. По возможности ограничьте доступ к веб-интерфейсу управления только из доверенных сегментов, отключите удалённое администрирование с внешних адресов и включите журналирование событий.
Дополнительные меры снижения риска
Рекомендуется сменить административные пароли и ключи, активировать двухфакторную аутентификацию на контроллере Omada, провести обзор учетных записей и удалить незадействованные. Настройте сегментацию сети и правило «минимально необходимых привилегий» для админ-доступа. Проведите ретроспективный анализ журналов на предмет аномалий, попыток входа и командных вызовов, а также настройте оповещения SIEM/IDS. При наличии возможности реализуйте резервирование конфигураций и регулярный аудит экспонированных сервисов на периметре.
Своевременное применение патчей для сетевых шлюзов критично для устойчивости инфраструктуры SMB. Обновите прошивки, пересмотрите политику администрирования и мониторинга, а также подпишитесь на рассылки безопасности производителя. Это простые шаги, которые существенно снижают вероятность компрометации и помогут сохранить контроль над периметром вашей сети.
