**TP-Link**は、Archer NXルーターシリーズにおける複数のセキュリティ脆弱性に対処しました。これには、**CVE-2025-15517**として特定された重大な脆弱性が含まれます。この脆弱性により、攻撃者は認証をバイパスし、デバイスに新しい、潜在的に悪意のあるファームウェアをアップロードできるようになります。 ### 認証バイパス (CVE-2025-15517) 重大な脆弱性である**CVE-2025-15517**は、Archer NX200、NX210、NX500、およびNX600ワイヤレスルーターに影響します。根本原因は、HTTPサーバーにおける認証チェックの欠落であり、特定のCGIエンドポイントに影響します。これにより、認証済みユーザーに制限されるべきアクセスが、認証されていない状態でも可能になります。 **TP-Link**のアドバイザリによると、「攻撃者は、ファームウェアのアップロードや設定操作を含む、認証なしで特権HTTPアクションを実行できる可能性があります。」 ### その他対処された脆弱性 重大な認証バイパスに加え、**TP-Link**は以下の脆弱性も修正しました。 * **CVE-2025-15605**: 設定メカニズム内のハードコードされた暗号鍵の削除。この鍵は、認証された攻撃者によって設定ファイルを復号、変更、および再暗号化するために悪用される可能性がありました。 * **CVE-2025-15518 & CVE-2025-15519**: 管理者権限を持つ脅威アクターが影響を受けるデバイス上で任意のコマンドを実行できる可能性のある、2つのコマンドインジェクション脆弱性。 ### 対策 **TP-Link**は、顧客に対し、それぞれのルーターモデルの最新ファームウェアバージョンを直ちにダウンロードしてインストールするよう強く推奨しています。同社は明確に「推奨されるすべての措置を講じない場合、この脆弱性は残ります。**TP-Link**は、このアドバイザリに従うことで回避できた可能性のある結果に対して一切の責任を負いません。」と述べています。 ### 脆弱性の履歴 **TP-Link**がルーターのセキュリティに関して精査されたのは今回が初めてではありません。9月には、2024年5月に報告された脆弱性への対応に当初失敗した後、同社は0-day脆弱性に対するパッチを急いでリリースしました。この未修正の脆弱性により、攻撃者は暗号化されていないトラフィックを傍受または操作し、DNSクエリをリダイレクトし、悪意のあるpayloadを挿入できる可能性がありました。 **サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）**は、Quad9 botnetによって悪用された**CVE-2023-50224**および**CVE-2025-9377**を含む、複数の**TP-Link**脆弱性を既知の悪用済み脆弱性カタログに追加しました。 現在、**CISA**は6つの**TP-Link**脆弱性を積極的に悪用されているとフラグ付けしており、最も古いものは複数のArcherデバイスに影響するディレクトリトラバーサル脆弱性（**CVE-2015-3035**）です。 ### 法的および規制上の精査 2月に、テキサス州司法長官 Paxtonは、ルーターセキュリティに関連する詐欺的な慣行を主張し、同社が中国国家支援のハッキンググループに脆弱性を悪用させることを許可したと非難して、**TP-Link Systems**を訴えました。 さらに、米国連邦通信委員会（FCC）は最近、外国で製造されたすべてのコンシューマー向けルーターを対象リストに含めるよう更新し、国家安全保障上の懸念から米国以外で製造された新しいルーターの販売を事実上禁止しました。