La Cybersecurity and Infrastructure Security Agency (CISA) ha inserito due vulnerabilità critiche, identificate dai codici CVE-2023-50224 e CVE-2025-9377, nel suo catalogo delle vulnerabilità sfruttate (Known Exploited Vulnerabilities, KEV). I router TP-Link, dispositivi diffusissimi in case e piccole aziende, sono al centro di una campagna di attacchi informatici attivi e pericolosi. I modelli dei router interessati sono TP-Link Archer C7(EU) V2 e TL-WR841N/ND(MS) V9. Il router TL-WR841N è molto diffuso in Italia ed è tra i più venduti su Amazon.
CISA ha fissato una scadenza perentoria al 24 settembre 2025 per le agenzie federali, un chiaro segnale della gravità della situazione . Anche se questa data è vincolante per il governo, l’invito a intervenire con la massima urgenza si estende a tutti i possessori di dispositivi potenzialmente compromessi.
Il rischio è concreto e in corso. Gli attaccanti stanno già sfruttando queste falle per compromettere reti domestiche e aziendali; trasformano un semplice dispositivo di rete in un punto d’accesso per attività malevole. Si parla di accesso non autorizzato, furto di credenziali sensibili e, nel caso peggiore, esecuzione di comandi arbitrari che possono portare al completo controllo del dispositivo. Questo scenario mette a repentaglio la riservatezza, l’integrità e la disponibilità di tutti i dati che transitano attraverso la rete interessata. Ignorare questo avviso equivale a lasciare la porta di casa aperta con un cartello che invita i ladri a entrare.
Analisi tecnica delle falle TP-Link : CVE-2025-9377 e CVE-2023-50224
Le due vulnerabilità sotto attacco presentano profili di rischio distinti ma ugualmente gravi. La prima, CVE-2025-9377, è classificata come un’iniezione di comandi del sistema operativo (OS Command Injection); colpisce specificamente i modelli TP-Link Archer C7(EU) V2 e TL-WR841N/ND(MS) V9 . Questa falla risiede nella pagina di controllo parentale dell’interfaccia di amministrazione del router.
Un attaccante che riesce a ottenere l’accesso autenticato a questa sezione può inserire comandi malevoli che vengono eseguiti direttamente dal sistema operativo sottostante del dispositivo . Il potenziale è enorme; si va dal semplice riavvio del router alla sua completa compromissione. Permette all’intruso di installare malware persistente, reindirizzare il traffico internet o utilizzare il dispositivo come punto di partenza per attaccare altri computer nella stessa rete.
La seconda vulnerabilità, CVE-2023-50224, riguarda invece esclusivamente il modello TP-Link TL-WR841N e consiste in un bypass dell’autenticazione tramite spoofing . Questo difetto colpisce il servizio httpd, che gestisce le richieste web sulla porta TCP 80. Sfruttando tecniche di spoofing, un aggressore può aggirare completamente i meccanismi di login; quindi è in grado di accedere direttamente alle credenziali di autenticazione memorizzate sul dispositivo.
In pratica, non è necessario conoscere la password dell’amministratore; l’attaccante può “fingere” di essere già autenticato e rubare le informazioni necessarie per ottenere il pieno controllo. Entrambe le vulnerabilità sono classificate con punteggi CVSS molto alti, indice di una severità critica. La loro combinazione rende i router colpiti obiettivi estremamente appetibili per chiunque voglia stabilire una presenza nascosta e duratura all’interno di una rete privata.
Mitigazione del rischio
Di fronte a questa minaccia attiva, l’inerzia è la scelta più pericolosa. La prima azione da intraprendere è un’ispezione accurata del proprio dispositivo di rete. Controlla il modello esatto del tuo router TP-Link, solitamente stampato su un’etichetta sul retro o sul fondo dell’apparecchio. I modelli coinvolti sono l’Archer C7 (versione EU) e il TL-WR841N/ND (MS), in specifiche revisioni hardware.
Se il tuo dispositivo rientra in questa lista, devi agire immediatamente. La CISA, nel suo avviso, suggerisce una misura drastica ma efficace: interrompere l’utilizzo del prodotto . Questi modelli potrebbero essere ormai fuori produzione (end-of-life) o non più supportati (end-of-service) . Ciò significa che TP-Link potrebbe non rilasciare più aggiornamenti del firmware per correggere queste falle.
Senza una patch ufficiale, il dispositivo rimane intrinsecamente insicuro. Se dismettere il router non è un’opzione praticabile nell’immediato, puoi tentare di ridurre la superficie d’attacco. Accedi all’interfaccia di amministrazione e disattiva completamente la funzionalità di “Controllo Parentale”, che è il vettore d’attacco per la CVE-2025-9377.
Cambia immediatamente la password di amministrazione con una sequenza lunga, complessa e unica. Disattiva l’accesso all’interfaccia di gestione da internet (accesso remoto), limitandolo solo alla rete locale. Infine, pianifica con urgenza l’acquisto di un router nuovo, di un modello attualmente supportato dal produttore e che riceva regolarmente aggiornamenti di sicurezza. La proattività è l’unica difesa efficace contro minacce di questo tipo.
La crescente presenza di TP-Link negli USA
La vicenda delle vulnerabilità attive non può essere separata dal contesto geopolitico più ampio in cui si inserisce. TP-Link, azienda con sede in Cina, ha visto la sua quota di mercato negli Stati Uniti crescere in modo esponenziale negli ultimi anni. Secondo le dichiarazioni di Rob Joyce, ex direttore della sicurezza informatica della NSA, la quota di mercato di TP-Link è passata dal 10% nel 2019 a quasi il 60% nel mercato retail statunitense per i sistemi Wi-Fi e i router per piccoli uffici e case .
Alcuni rapporti parlano addirittura di una quota che si avvicina all’80% . Questa espansione è stata favorita da una strategia di prezzo aggressiva, con l’azienda che avrebbe venduto i suoi prodotti “in perdita” per conquistare quote di mercato . Questa massiccia penetrazione ha sollevato preoccupazioni significative tra i funzionari della sicurezza nazionale americana. La dipendenza da un produttore cinese per una componente critica dell’infrastruttura di rete, come il router che funge da gateway per milioni di case e piccole imprese, è vista come un potenziale rischio per la sicurezza nazionale.
L’ex capo degli hacker della NSA ha espresso chiaramente il timore che i legami dell’azienda con il governo cinese possano mettere a rischio i cittadini americani . Questo clima di sospetto rende ogni vulnerabilità tecnica, come quelle attualmente sfruttate, un problema non solo di sicurezza informatica personale, ma anche di sicurezza collettiva. Si parla di nuovo della possibilità che TP-Link finisca nella lista dei produttori da “rimuovere e sostituire” (rip-and-replace) da parte del governo statunitense .
Abitudini per una rete sicura
La sicurezza della rete domestica o aziendale non è un traguardo da raggiungere una volta per tutte, ma un processo continuo che richiede attenzione costante. Il primo principio fondamentale è la manutenzione regolare. Controlla periodicamente, almeno una volta al mese, la disponibilità di aggiornamenti del firmware per il tuo router e per tutti i tuoi dispositivi connessi. Installa questi aggiornamenti non appena vengono rilasciati; spesso contengono correzioni per falle di sicurezza appena scoperte.
Il secondo principio è la sostituzione programmata. I dispositivi di rete, come i router, hanno un ciclo di vita limitato. Dopo 3-5 anni, è probabile che il produttore smetta di rilasciare aggiornamenti di sicurezza. Non aspettare che il dispositivo si rompa; sostituiscilo proattivamente con un modello moderno e supportato.
Il terzo principio è la vigilanza informativa. Segui le comunicazioni delle agenzie di sicurezza come la CISA e i bollettini dei produttori dei tuoi dispositivi. Essere informato sulle nuove minacce è il primo passo per proteggersi. Infine, adotta sempre pratiche di sicurezza di base: utilizza password robuste e uniche per ogni dispositivo e servizio; abilita l’autenticazione a due fattori (2FA) ovunque sia possibile; non aprire link o allegati sospetti nelle email. Queste azioni, apparentemente semplici, creano un robusto strato di difesa che può respingere la maggior parte degli attacchi automatizzati.
