- Sfruttare una vulnerabilità ha reso l'altra più facile da attivare con successo
Due nuove falle recentemente scoperte nei router VPN Omada e Festa di TP-Link hanno esposto debolezze profonde nella sicurezza del firmware dell'azienda.
Le vulnerabilità, identificate come CVE-2025-7850 e CVE-2025-7851, sono state individuate dai ricercatori di Forescout's Vedere Labs.
Queste vulnerabilità sono state descritte come parte di un modello ricorrente di patching incompleto e codice di debug residuo.
Accesso root ripristinato tramite codice residuo
Un problema precedentemente noto, CVE-2024-21827, permetteva agli aggressori di sfruttare una funzione di "codice di debug residuo" per ottenere l'accesso root sui router TP-Link.
Sebbene TP-Link abbia corretto questa vulnerabilità, l'aggiornamento ha lasciato residui dello stesso meccanismo di debug accessibile in condizioni specifiche.
Se veniva creato sul dispositivo un certo file di sistema, image_type_debug, ricompariva il vecchio comportamento di login root.
Questa scoperta ha formato la base per la nuova vulnerabilità CVE-2025-7851.
L'indagine ha poi scoperto una seconda falla, CVE-2025-7850, che colpisce l'interfaccia di configurazione VPN WireGuard dei router.
Una sanitizzazione impropria di un campo di chiave privata ha consentito a un utente autenticato di iniettare comandi del sistema operativo, risultando nell'esecuzione completa di codice remoto come utente root.
In pratica, sfruttare una vulnerabilità ha reso l'altra più facile da attivare, creando una rotta combinata per completare il controllo del dispositivo.
Questo rivela come le correzioni di routine possano a volte introdurre nuovi percorsi di attacco piuttosto che eliminare quelli esistenti.
