4 Settembre 2025 10:26    Alert

Vulnerabilità critiche sui router TP-Link Archer C7 e TL-WR841N: sfruttamento attivo di CVE-2023-50224 e CVE-2025-9377

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha segnalato lo sfruttamento attivo delle vulnerabilità CVE-2023-50224 (Authentication Bypass) e CVE-2025-9377 (Remote Code Execution) ai danni dei router TP-Link Archer C7(EU) V2 e TL-WR841N/ND(MS) V9. La catena di attacco comprende la divulgazione di credenziali (con la CVE-2023-50224 tramite HTTPD esposto su porta 80 senza autenticazione) e la possibilità per un attaccante, successivamente, di ottenere il pieno controllo dell’apparato con una command injection sulla pagina di Parental Control (CVE-2025-9377).

Le due falle, con punteggi di rischio CVSS rispettivamente pari a 6.5 e 8.6, consentono a minacce esterne di:

  • eludere l’autenticazione e accedere a dati sensibili,

  • installare malware o arruolare il dispositivo in botnet come Quad7/7777,

  • lanciare attacchi bruteforce contro servizi, in particolare Microsoft 365, sfruttando migliaia di indirizzi IP residenziali come proxy distribuiti.
     

I modelli coinvolti sono tutti quelli precedenti:

  • Archer C7(EU) V2, versione V2_241108,

  • TL-WR841N/ND(MS) V9, versione V9_241108.
     

Sebbene TP-Link abbia rilasciato patch a novembre 2024, i dispositivi sono fuori supporto (EOS) e si segnala la presenza di numerosi esemplari vulnerabili. Gli attacchi, secondo ACN, CISA ed esperti di settore, sono stati condotti da threat actor cinesi (Storm-0940) e si sono intensificati nel settembre 2025 grazie all’automatizzazione tramite botnet.

Azioni consigliate:

  • Applicare immediatamente i firmware di sicurezza rilasciati da TP-Link.

  • Per dispositivi obsoleti senza più supporto, sostituire con modelli aggiornati.

  • Limitare l’accesso remoto al pannello di gestione, disabilitando l’accesso WAN ove non strettamente necessario.

  • Monitorare i log per tentativi di accesso e traffico anomalo.

L’inazione espone a rischi concreti: furto di dati, coinvolgimento in botnet e minacce alle reti aziendali e personali.

Fonti: ACN, GitHub, Malwarebytes