Underc0de - La Casa de los Informáticos

Acer ha confirmado la existencia de dos vulnerabilidades Zero-Day de máxima gravedad que afectan a sus routers mesh Wave 7, una situación que podría exponer a miles de usuarios a ataques remotos capaces de comprometer por completo la seguridad de sus redes domésticas y empresariales.

Los fallos de seguridad, identificados como CVE-2026-49200 y CVE-2026-49201, fueron descubiertos y reportados por el investigador de seguridad Gergo Pap. Según el aviso oficial emitido por Acer, ambas vulnerabilidades afectan a los dispositivos Wave 7 que ejecutan la versión de firmware T7c_GBL_1.01.000055 o anteriores.

La gravedad de estos errores radica en que pueden ser explotados por atacantes remotos sin necesidad de autenticación previa, permitiendo desde el robo de credenciales hasta la implantación de accesos persistentes mediante puertas traseras, comprometiendo la integridad y confidencialidad de las comunicaciones de los usuarios.

CVE-2026-49200: exposición de credenciales en texto plano

La primera vulnerabilidad identificada, catalogada como CVE-2026-49200, corresponde a un problema de control de acceso insuficiente que permite a atacantes no autenticados acceder a información altamente sensible almacenada dentro del router.

De acuerdo con la documentación publicada por Acer, el archivo de registro denominado acer_cgi.log puede ser consultado a través de la interfaz web sin requerir autenticación. El problema es especialmente grave porque dicho archivo contiene credenciales almacenadas en texto claro.

Entre los datos expuestos se encuentran:

• Credenciales de acceso al panel web de administración.
• Datos de autenticación para servicios Telnet.
• Información que podría facilitar movimientos laterales dentro de la red.

La presencia de credenciales sin cifrar en archivos accesibles públicamente representa una vulnerabilidad crítica que podría ser explotada para obtener acceso administrativo completo al dispositivo.

Una vez comprometido el router, un atacante podría modificar configuraciones de red, interceptar tráfico, redirigir conexiones, desplegar malware o utilizar el dispositivo como punto de acceso para comprometer otros equipos conectados.

CVE-2026-49201: clave criptográfica codificada permite instalar puertas traseras

La segunda vulnerabilidad, identificada como CVE-2026-49201, presenta un escenario igualmente preocupante.

Según Acer, el componente upload.cgi, encargado de gestionar las copias de seguridad del dispositivo, contiene una clave criptográfica AES codificada de forma estática dentro del firmware.

Este tipo de práctica es considerada una debilidad de seguridad crítica porque permite que un atacante que conozca dicha clave pueda:

• Descifrar archivos de respaldo del sistema.
• Modificar configuraciones internas del router.
• Alterar parámetros de seguridad.
• Reempaquetar y cifrar nuevamente las copias manipuladas.
• Introducir puertas traseras persistentes difíciles de detectar.

En términos prácticos, un ciberdelincuente podría crear una copia de seguridad modificada que incluya mecanismos de acceso ocultos y posteriormente restaurarla en el dispositivo, obteniendo control permanente incluso después de reinicios o cambios superficiales de configuración.

Los expertos advierten que este tipo de vulnerabilidades suelen ser especialmente peligrosas porque facilitan ataques persistentes y difíciles de erradicar, permitiendo que los atacantes mantengan acceso prolongado a la infraestructura comprometida.

Impacto de las vulnerabilidades en la seguridad de la red

Los routers representan uno de los componentes más importantes dentro de cualquier entorno conectado, ya que actúan como punto central de comunicación entre dispositivos locales e Internet.

Cuando un router resulta comprometido, las consecuencias pueden extenderse a toda la red.

Entre los riesgos asociados a estas vulnerabilidades destacan:

Robo de información sensible

Los atacantes podrían interceptar tráfico de red y recopilar información confidencial, incluyendo credenciales, sesiones activas y datos personales.

Secuestro de tráfico

Un ciberdelincuente podría modificar configuraciones DNS para redirigir a los usuarios hacia sitios web maliciosos diseñados para el robo de credenciales o la distribución de malware.

Persistencia avanzada

La vulnerabilidad relacionada con la clave AES codificada facilita la instalación de mecanismos de acceso persistente que pueden permanecer activos durante largos períodos.

Compromiso de dispositivos conectados

Una vez obtenido el control del router, los atacantes podrían utilizarlo como plataforma para lanzar ataques contra ordenadores, smartphones, dispositivos IoT y otros equipos conectados a la misma red.

Acer prepara actualizaciones de seguridad

Aunque actualmente no existen parches públicos disponibles para corregir estas vulnerabilidades, Acer aseguró que ya está trabajando en soluciones de seguridad.

La compañía indicó que las correcciones serán distribuidas mediante futuras actualizaciones de firmware programadas para finales de junio de 2026.

El fabricante recomendó a todos los usuarios mantenerse atentos a los avisos oficiales y aplicar las actualizaciones tan pronto como estén disponibles para minimizar la superficie de ataque.

Cómo actualizar el firmware del router Acer Wave 7

Una vez que Acer publique las correcciones, los usuarios podrán verificar e instalar las actualizaciones siguiendo estos pasos:

• Conectar un ordenador al router Acer Wave 7 mediante Wi-Fi o cable Ethernet.
• Abrir un navegador web.
• Acceder al panel de administración mediante:
• http://192.168.76.1
• http://acerconnect.com
• Iniciar sesión con una cuenta de administrador.
• Dirigirse al apartado Gestión de Sistemas.
• Seleccionar Actualización de firmware.
• Pulsar en Comprobar actualizaciones.
• Instalar la versión más reciente disponible.

Medidas de mitigación recomendadas

Hasta que los parches oficiales sean liberados, Acer recomienda implementar medidas preventivas para reducir el riesgo de explotación.

Las principales recomendaciones incluyen:

• Desactivar la administración remota del router siempre que sea posible.
• Limitar el acceso remoto exclusivamente a direcciones IP de confianza.
• Cambiar periódicamente las credenciales administrativas.
• Supervisar registros de actividad sospechosa.
• Deshabilitar servicios innecesarios como Telnet si el dispositivo lo permite.
• Mantener segmentados los dispositivos críticos dentro de la red.

Un recordatorio de los riesgos asociados a los dispositivos conectados

La aparición de estas vulnerabilidades en los routers Acer Wave 7 vuelve a poner de manifiesto la importancia de la seguridad en los dispositivos de red. Los routers son objetivos frecuentes de los ciberdelincuentes debido a su posición estratégica dentro de las infraestructuras digitales.

La combinación de credenciales expuestas en texto plano y claves criptográficas codificadas representa una amenaza significativa que podría ser aprovechada para comprometer completamente una red doméstica o empresarial.

Mientras Acer finaliza el desarrollo de los parches correspondientes, los usuarios afectados deben adoptar medidas de mitigación inmediatas y mantenerse atentos a las futuras actualizaciones de firmware que corregirán estos dos peligrosos fallos Zero-Day.

Fuente: https://www.bleepingcomputer.com/