Le CWMP (Customer Premises Equipment WAN Management Protocol) est un protocole utilisé par les fournisseurs d’accès pour gérer à distance les équipements réseau des clients. Bien que pratique pour le support et les mises à jour, ce protocole opère avec des privilèges élevés et repose sur des données entrantes potentiellement manipulables, ce qui en fait une cible privilégiée pour les attaquants.

Découverte automatisée d'une faille critique

La faille a été découverte par le chercheur indépendant Mehrun, alias ByteRay, grâce à des outils d’analyse automatisée, notamment un moteur d’analyse taint personnalisé. Elle concerne une fonction spécifique du binaire CWMP chargé de traiter les messages SOAP SetParameterValues.

En résumé, le code :

• copie des données de l’utilisateur dans un tampon sur la pile sans vérifier leur taille correctement,

• utilise une fonction strncpy sans contrôle strict des limites,

• et alloue un tampon de seulement 3072 octets sur la pile.

En envoyant un message SOAP malveillant de plus de 4000 octets via un faux serveur CWMP, un attaquant peut provoquer un dépassement de mémoire tampon (stack overflow), écraser le compteur de programme (PC) et exécuter du code arbitraire à distance avec des droits root.

💥 Le PoC développé par le chercheur démontre que 3112 octets suffisent pour obtenir le contrôle complet du système.

Modèles touchés et exposition réelle

Les modèles confirmés comme vulnérables :

• TP-Link Archer AX10 (V1, V1.2, V2, V2.6)

• TP-Link Archer AX1500 (binaire identique à l’AX10)

Modèles potentiellement affectés (tests en cours) :

• EX141

• Archer VR400

• TD-W9970

Selon une recherche via le moteur Fofa, plus de 4 200 IP uniques exposent directement ces appareils vulnérables à Internet. En l’absence de correctif, ces appareils peuvent être compromis à distance à tout moment.

Pourquoi cette faille est particulièrement dangereuse

La réussite de l’exploitation repose sur deux éléments assez courants dans les environnements réels :

• Accès à la configuration : nombreux sont les utilisateurs qui laissent les identifiants par défaut (ou des mots de passe faibles).

• Serveur CWMP malveillant : facile à déployer avec des outils publics (GenieACS, etc.), surtout en environnement cloud.

Une fois redirigé vers un serveur malveillant, le routeur accepte le message SOAP piégé et l’exécute sans se douter de quoi que ce soit. Le scénario est donc loin d’être théorique.

De plus, la CISA (agence américaine de cybersécurité) a récemment émis une alerte concernant deux autres failles activement exploitées sur les routeurs TP-Link :

• CVE-2023-50224 : contournement d’authentification

• CVE-2025-9377 : injection de commande

Ces deux vulnérabilités sont déjà utilisées par le botnet Quad7 pour convertir les routeurs compromis en proxies malveillants, servant à mener des campagnes de spam, de piratage de comptes ou de fraude publicitaire.

Que faire pour se protéger ?

• Changer immédiatement les mots de passe par défaut de l’interface admin

• Désactiver CWMP (TR-069) si non utilisé

• Surveiller les mises à jour de firmware tous les jours

• Segmenter le réseau si usage professionnel ou critique

• Contrôler régulièrement la configuration du routeur

Cette faille zero-day dans les routeurs TP-Link met en lumière une réalité inquiétante : l'énorme retard en matière de sécurité dans les équipements réseau grand public. Trop souvent négligés, ces appareils représentent pourtant des portes d’entrée idéales pour les cyberattaquants.

L’attaque est simple à mettre en œuvre, les impacts sont critiques, et les correctifs se font attendre. Dans ce contexte, il est impératif pour les utilisateurs d’adopter une hygiène numérique rigoureuse, et pour les fabricants de prendre au sérieux la sécurité de leurs produits, dès la phase de conception.

En attendant des correctifs officiels, la meilleure défense reste… la prévention.