Une vulnérabilité critique de type “zero-day” a été détectée dans l’implémentation CWMP des routeurs TP-Link, représentant un risque de sécurité majeur pour des milliers d’utilisateurs à travers le monde. Découverte en janvier 2025 grâce à une analyse automatisée des flux de données, cette faille a été signalée à TP-Link le 11 mai, mais reste non corrigée, laissant les utilisateurs exposés.
Le CWMP, ou TR-069, est un protocole permettant aux fournisseurs de gérer les routeurs à distance. Sa complexité et ses niveaux de privilège en font une cible attrayante pour les attaquants. Les chercheurs ont identifié un débordement de tampon basé sur la pile dans la fonction qui traite les messages SOAP SetParameterValues, affectant des modèles populaires tels que les Archer AX10 et AX1500.
Le problème provient de l’utilisation d’une entrée de message externe pour calculer la longueur du tampon, qui est ensuite passée à une opération strncpy sans vérification des limites, bien que le tampon de pile ne soit que de 3072 octets. Avec une charge utile de 4096 octets, l’exploitation provoque un crash du service et permet de réécrire le compteur de programme, pouvant entraîner une compromission complète du système avec un accès root.
Les tests avec une preuve de concept ont démontré qu’une charge utile spécialement conçue pouvait contrôler entièrement le compteur de programme, confirmant le scénario d’exécution de code à distance. La vulnérabilité ne se limite pas à ces deux modèles, car TP-Link réutilise souvent des binaires identiques sur ses appareils. Le moteur de recherche Fofa a identifié plus de 4 200 appareils vulnérables accessibles en ligne, soulignant la menace réelle et immédiate.
La facilité d’exécution de l’attaque aggrave encore le danger. De nombreux routeurs utilisent encore des mots de passe par défaut ou ont des paramètres de sécurité faibles. Une fois l’accès obtenu, les attaquants peuvent modifier l’adresse du serveur CWMP vers un serveur ACS malveillant, délivrant des exploits pour prendre le contrôle total de l’appareil. La simplicité de mise en place d’un tel serveur et la mauvaise validation des certificats augmentent la probabilité d’une exploitation active.
Malgré le signalement de la vulnérabilité en mai, elle reste non résolue, incitant les utilisateurs à prendre des précautions immédiates. En attendant la disponibilité de correctifs, il est conseillé aux utilisateurs de définir des mots de passe forts, de désactiver le TR-069 si possible, et de surveiller de près l’activité du réseau pour atténuer les risques.
