TP-Link усунула чотири уразливості в шлюзах серії Omada, серед яких дві дозволяють виконувати довільні команди на пристрої з підвищенням привілеїв до рівня root. Найнебезпечніша — CVE-2025-6542 із оцінкою CVSS 9.3 — експлуатується віддалено без аутентифікації. Уразливість CVE-2025-6541 (CVSS 8.6) потребує входу у веб-інтерфейс керування. Виробник оприлюднив оновлення прошивки для всіх проблем і настійно рекомендує встановити їх негайно.
Які шлюзи TP-Link Omada вразливі: моделі й контекст використання
Під впливом перебувають 13 моделей із лінійок ER, G і FR: ER8411, ER7412-M2, ER707-M2, ER7206, ER605, ER706W, ER706W-4G, ER7212PC, G36, G611, FR365, FR205, FR307-M2. Ці пристрої виконують роль маршрутизатора, міжмережевого екрана та VPN-шлюзу для малого й середнього бізнесу, часто стоять на периметрі мережі та критично впливають на стійкість інфраструктури.
Серйозність і вектори атак: як працюють CVE-2025-6542 та CVE-2025-6541
CVE-2025-6542 відкриває зловмиснику з інтернету можливість виконувати команди на шлюзі без облікових даних, що створює ризик повної компрометації. CVE-2025-6541 експлуатується після входу у веб-консоль, проте так само дає доступ на рівні базової ОС. За оцінкою TP-Link, успішна експлуатація дозволяє здійснювати викрадення даних, бічний рух мережею та закріплення у системі. Компанія додатково повідомила ще про дві вразливості; актуальні прошивки закривають усі чотири проблеми.
Типовий ланцюжок компрометації периметра
Зловмисники зазвичай сканують зовнішні інтерфейси на вразливі версії, виконують RCE, розгортають бекдор, забезпечують збереження доступу після перезавантаження, проводять розвідку внутрішніх підмереж і збирають облікові дані. Далі відбувається бічний рух і ексфільтрація даних. У середовищі SMB такий сценарій часто призводить до простоїв сервісів і фінансових втрат.
Вплив на бізнес і ширший контекст загроз
Компрометація шлюзу на периметрі підриває конфіденційність, цілісність і доступність всієї мережі: на пристрої зберігаються конфігурації, списки VPN-користувачів і ключі, а також здійснюється контроль трафіку та фільтрація. Тенденція експлуатації мережевих аплайнсів підтверджується галузевою аналітикою: за даними звіту Verizon DBIR 2024, експлуатація уразливостей фігурує приблизно у 14% порушень безпеки, демонструючи суттєве зростання ролі периметрових пристроїв у інцидентах. CISA у каталозі KEV регулярно фіксує активну експлуатацію VPN/фаєрвол аплайнсів різних виробників, що робить швидке встановлення патчів ключовою практикою кібергігієни.
Рекомендації: оновлення, перевірки та зменшення площі атаки
Негайно оновіть прошивки усіх затронутих моделей до останніх версій, опублікованих TP-Link. Після оновлення перевірте цілісність конфігурацій: політики фаєрвола, маршрутизацію, списки VPN-користувачів і ключі. Обмежте доступ до веб-інтерфейсу керування лише з довірених сегментів, вимкніть адміністративний доступ із WAN та активуйте детальне журналювання подій.
Післяпатчеві дії та додаткові технічні заходи
Змініть адміністративні паролі та криптографічні ключі, увімкніть MFA на контролері Omada, перегляньте облікові записи та видаліть невикористовувані. Застосуйте сегментацію мережі й принцип найменших привілеїв для адміністрування. Проведіть ретроспективний аналіз логів на предмет аномалій входу та виконання команд, налаштуйте оповіщення в SIEM/IDS. Регулярно резервуйте конфігурації та виконуйте аудит опублікованих на периметрі сервісів.
Своєчасне встановлення патчів на периметрових шлюзах — один із найефективніших способів зірвати ланцюг атаки ще на початку. Оновіть прошивки, перегляньте політики адміністрування та моніторингу, підпишіться на бюлетені безпеки виробника і заплануйте перевірку периметра на наявність вразливостей. Ці кроки суттєво знижують ризик компрометації та допомагають зберегти контроль над вашою мережею.
