SchwachstellenHackerangriffeIoT-Sicherheit

TP-Link warnt vor kritischer Authentifizierungslücke in Archer-NX-Routern

TP-Link warnt vor kritischer Authentifizierungslücke in Archer-NX-Routern
Zusammenfassung

TP-Link warnt vor kritischen Sicherheitslücken in seinen Archer-NX-Routern, die es Angreifern ermöglichen, die Authentifizierung zu umgehen und neue Firmware hochzuladen. Die als CVE-2025-15517 katalogisierte Schwachstelle betrifft die Modelle NX200, NX210, NX500 und NX600 und basiert auf fehlenden Authentifizierungsprüfungen in bestimmten HTTP-Servern. Ohne Anmeldedaten können Angreifer privilegierte Aktionen wie Firmware-Updates und Konfigurationsänderungen durchführen. Zusätzlich wurden drei weitere kritische Fehler behoben: eine gehärtete kryptografische Schlüssel-Schwachstelle, die das Dekryptieren von Konfigurationsdateien ermöglicht, sowie zwei Command-Injection-Vulnerabilities. TP-Link fordert Nutzer dringend auf, ihre Geräte zu aktualisieren. Der Vorfall reiht sich in eine Reihe von Sicherheitsproblemen bei TP-Link ein – die US-Agentur CISA hat bislang sechs Schwachstellen als aktiv ausgenutzt eingestuft. Deutsche Nutzer und Unternehmens-IT sollten ihre TP-Link-Router unverzüglich überprüfen und aktualisieren, da besonders die Authentifizierungs-Bypass-Schwachstelle ein erhebliches Risiko für Netzwerksicherheit, Datenschutz und potenzielle Ransomware-Infektionen darstellt. Die jüngste Ankündigung der US-Regulierungsbehörde FCC, Auslandsrouter zu beschränken, unterstreicht die wachsenden Sicherheitsbedenken bei Netzwerk-Hardware.

Die Sicherheitslücken in den TP-Link-Routern markieren bereits die neueste Serie problematischer Schwachstellen des Herstellers. Das Unternehmen hat erkannt, dass die fehlende Authentifizierungsprüfung in bestimmten CGI-Endpunkten des HTTP-Servers es Angreifern ermöglicht, sich als autorisierte Nutzer auszugeben – ohne jemals Login-Daten eingeben zu müssen.

Die kritischste Lücke CVE-2025-15517 ist dabei besonders besorgniserregend: Ein Angreifer könnte nicht nur die Router-Konfiguration manipulieren, sondern auch komplett neue Firmware einspielen – und damit potenziell Malware oder Backdoors auf das Gerät bringen. Dies hätte weitreichende Konsequenzen, da Router als Eingangstor zum gesamten Heimnetzwerk fungieren.

Parallel zu CVE-2025-15517 wurde auch CVE-2025-15605 geschlossen, eine Schwachstelle, bei der ein hardcodierter kryptographischer Schlüssel in der Konfigurationssicherung verwendet wurde. Authentifizierte Angreifer konnten dadurch verschlüsselte Konfigurationsdateien entschlüsseln, modifizieren und erneut verschlüsseln – ein klassisches Beispiel für unzureichende Schlüsselverwaltung.

Die beiden Command-Injection-Lücken (CVE-2025-15518, CVE-2025-15519) erfordern zwar Admin-Privilegien, ermöglichen aber jedem mit Zugriff die Ausführung beliebiger Systemkommandos – ein kritisches Risiko in Netzwerken mit mehreren Nutzern.

Dies ist nicht das erste Mal, dass TP-Link mit gravierenden Sicherheitsproblemen kämpft. Im September musste das Unternehmen Notfall-Patches für eine bereits im Mai 2024 gemeldete Zero-Day-Lücke veröffentlichen. Auch die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat mittlerweile sechs TP-Link-Schwachstellen als aktiv ausgenutzt in ihre offizielle Liste aufgenommen – darunter auch die von der Quad7-Botnet-Familie missbrauchten Lücken.

Die anhaltende Kritik erstreckt sich auch auf die politische Ebene: Im Februar verklagte die texanische Generalstaatsanwältin TP-Link wegen irreführender Sicherheitsversprechen und warf dem Hersteller vor, Routern als sichere Produkte zu vermarkten, während sie chinesischen staatlichen Hackergruppen als Angriffsflächen dienen.

Deutsche Nutzer sollten umgehend die neueste Firmware einspielen. TP-Link betont: Wer nicht handelt, trägt selbst die Verantwortung für mögliche Konsequenzen.

Ähnliche Artikel