По оценкам специалистов, уязвимость может затронуть десятки тысяч устройств.
Подпишитесь и не пропустишь про технологии, мировые новости и бешеные факты:
Исследовательская команда ByteRay выявила серьёзную брешь в маршрутизаторах TP-Link. Ошибка получила идентификатор CVE-2025-9961 (CVSS 8.6) и обнаружена в сервисе CWMP (TR-069).
Суть проблемы в том, что атакующий способен отправить специально подготовленный SOAP-запрос и тем самым обойти защитный механизм ASLR (Address Space Layout Randomization). Это открывает дорогу к выполнению произвольного кода и фактически дарит злоумышленникам полный root-доступ к устройству.
Главная техническая причина — некорректная обработка параметров в CWMP, позволяющая без ограничений записывать данные в стек. Если хакер использует собственный ACS-сервер, он может передать переполненный пакет, изменить указатель выполнения и захватить поток инструкций.
Даже включённый ASLR не спасает: комбинация подбора базовых адресов и возможности перезапускать службу через веб-панель роутера делает защиту уязвимой. Конечный этап атаки строится на технике ret2libc, при которой используется функция system() из libc. В результате на жертву загружается ELF-бинарник, формирующий обратное TCP-соединение.
Для подтверждения концепции специалисты создали собственный ACS-сервер на Python. Обычные решения вроде GenieACS не справлялись с передачей нужного диапазона байтов. Разработанный прототип выполнял три шага: запускал TR-069-сеанс и получал идентификатор CPE, фиксировал cookie, затем отправлял SetParameterValues с переполнением.
Далее следовал перебор адресного пространства с перезапуском CWMP через панель администратора. Завершающий payload применял curl для загрузки и запуска удалённого шелла, что обеспечивало злоумышленнику постоянный доступ внутрь сети.
Любопытно, что баг был обнаружен случайно — во время экспериментов с откатом прошивки. ByteRay пробовали загрузить уязвимую версию CWMP через старую брешь CVE-2023-1389. Дополнительный анализ показал слабые места бинаря: отсутствие PIE и защиты stack canaries, при этом NX и частичный RELRO были включены. Энтропия ASLR составляла всего 9–10 бит для libc и стека, что делало перебор вполне выполнимым на практике.
Компания TP-Link уже отреагировала: в свежих прошивках исправлена ошибка обработки входных данных, активирована полная защита RELRO и внедрены стековые канарейки. Эксперты настоятельно советуют администраторам обновить устройства, отключить удалённое управление ACS при его ненадобности, использовать сложные пароли для панели управления и ограничивать доступ к TR-069 доверенными сетями.
Этот инцидент с CVE-2025-9961 ясно демонстрирует: даже встроенные защитные механизмы не дают полной гарантии. Когда бинарь собран недостаточно жёстко, а контроль входных данных слаб, хакеры находят лазейку. Поэтому многослойная защита и своевременные обновления остаются ключевым щитом для любой инфраструктуры.
Подпишитесь и не пропустишь про технологии, мировые новости и бешеные факты: