TP-Link mengumumkan adanya dua kerentanan command injection serius pada lini produk Omada Gateway, yang dapat memungkinkan penyerang menjalankan perintah sistem operasi (OS) arbitrer dan mengambil alih kendali perangkat sepenuhnya.
Perangkat Omada dikenal sebagai solusi router–firewall–VPN gateway serbaguna untuk UKM dan jaringan enterprise kecil, sehingga dampak serangan dapat meluas.
⚠️ CVE-2025-6542 – Serangan Tanpa Login, Risiko Kritis (CVSS 9.3)
Kerentanan pertama (CVE-2025-6542) diklasifikasikan kritis karena bisa dieksploitasi oleh penyerang jarak jauh tanpa autentikasi.
Dengan memanfaatkan celah ini, penyerang dapat mengeksekusi perintah sistem operasi langsung dari internet, membuka jalan untuk pengambilalihan total perangkat, pencurian data, dan gerakan lateral di jaringan internal.
🔐 CVE-2025-6541 – Eksploitasi Setelah Login (CVSS 8.6)
Kerentanan kedua (CVE-2025-6541) serupa secara teknis, namun membutuhkan kredensial login ke antarmuka web manajemen Omada.
TP-Link menjelaskan bahwa kedua bug ini memungkinkan:
“Eksekusi perintah OS arbitrer oleh pengguna yang bisa login, atau oleh penyerang jarak jauh tanpa autentikasi.”
🧩 Model & Versi Firmware yang Terdampak
Celah ini memengaruhi 13 model Omada Gateway dengan versi firmware berikut:
| Model | Versi Rentan | Versi Diperbaiki |
|---|---|---|
| ER8411 | < 1.3.3 Build 20251013 | ≥ 1.3.3 Build 20251013 |
| ER7412-M2 | < 1.1.0 Build 20251015 | ≥ 1.1.0 Build 20251015 |
| ER707-M2 | < 1.3.1 Build 20251009 | ≥ 1.3.1 Build 20251009 |
| ER7206 | < 2.2.2 Build 20250724 | ≥ 2.2.2 Build 20250724 |
| ER605 | < 2.3.1 Build 20251015 | ≥ 2.3.1 Build 20251015 |
| ER706W | < 1.2.1 Build 20250821 | ≥ 1.2.1 Build 20250821 |
| ER706W-4G | < 1.2.1 Build 20250821 | ≥ 1.2.1 Build 20250821 |
| ER7212PC | < 2.1.3 Build 20251016 | ≥ 2.1.3 Build 20251016 |
| G36 | < 1.1.4 Build 20251015 | ≥ 1.1.4 Build 20251015 |
| G611 | < 1.2.2 Build 20251017 | ≥ 1.2.2 Build 20251017 |
| FR365 | < 1.1.10 Build 20250626 | ≥ 1.1.10 Build 20250626 |
| FR205 | < 1.0.3 Build 20251016 | ≥ 1.0.3 Build 20251016 |
| FR307-M2 | < 1.2.5 Build 20251015 | ≥ 1.2.5 Build 20251015 |
🧱 Dua Celah Tambahan: CVE-2025-8750 & CVE-2025-7851
Dalam buletin terpisah, TP-Link juga mengungkap dua celah lain:
- CVE-2025-8750 (CVSS 9.3) — Command injection yang dapat dimanfaatkan oleh pengguna dengan akses admin ke portal web Omada.
- CVE-2025-7851 (CVSS 8.7) — Memungkinkan penyerang mendapatkan akses shell root pada OS di balik Omada Gateway.
Kedua celah ini mempengaruhi semua model Omada yang sama, dan firmware terbaru telah menambal keempat kerentanan sekaligus.
🧰 Rekomendasi Mitigasi
- Segera perbarui firmware ke versi terbaru sesuai tabel di atas.
- Nonaktifkan akses manajemen jarak jauh (WAN management) bila tidak diperlukan.
- Ganti semua password admin setelah pembaruan.
- Audit log sistem untuk aktivitas tidak sah atau eksekusi perintah yang mencurigakan.
- Segmen jaringan gateway agar akses administratif hanya bisa dilakukan dari subnet internal yang aman.
📅 Kesimpulan
Keempat celah ini—terutama CVE-2025-6542—berpotensi memberi kendali penuh atas sistem gateway, yang dalam konteks bisnis berarti risiko serius bagi integritas, kerahasiaan, dan ketersediaan jaringan perusahaan.
TP-Link mendesak semua pengguna Omada untuk memasang patch sesegera mungkin dan memastikan konfigurasi tetap konsisten pasca pembaruan.
Sumber: TP-Link Security Advisory, BleepingComputer