Underc0de - La Casa de los Informáticos

El fabricante taiwanés ASUS ha publicado una actualización urgente de firmware para sus routers, destinada a corregir nueve vulnerabilidades de seguridad, entre ellas una falla crítica que permite la evasión de autenticación en dispositivos con su función de nube AiCloud habilitada.

La vulnerabilidad más grave ha sido identificada como CVE-2025-59366. Según el aviso oficial, este fallo puede activarse por un efecto colateral inesperado de la funcionalidad Samba, lo que posibilita la ejecución de funciones específicas sin la debida autorización.

¿Por qué es peligrosa esta vulnerabilidad?

• CVE-2025-59366 tiene una puntuación de CVSS 9.2 (crítica).
• Puede explotarse desde la red, con baja complejidad y sin requerir privilegios ni interacción del usuario.
• El atacante podría ejecutar comandos arbitrarios en el router, comprometiendo la confidencialidad, integridad y disponibilidad del dispositivo y de la red local.

Además, esta vulnerabilidad se suma a otra anterior, CVE-2025-2492, que en abril también permitió un bypass de autenticación en routers con AiCloud, y que ya fue explotada en una campaña global.

¿Qué significa AiCloud y por qué aumenta el riesgo?

AiCloud es una función integrada en muchos modelos de routers ASUS, diseñada para convertir el router en una nube privada: permite el acceso remoto a archivos almacenados en unidades USB, streaming de medios y sincronización de datos desde cualquier ubicación.

Aunque útil desde el punto de vista de conveniencia, esta característica incrementa la superficie de ataque. Si un router tiene AiCloud habilitado y no está actualizado, un atacante podría explotar vulnerabilidades como CVE-2025-59366 o CVE-2025-2492 para tomar control absoluto del dispositivo, acceder a la red local, interceptar datos, o incluso usar el router como nodo en una red maliciosa.

Explotaciones reales: campaña global de secuestro de routers

Los problemas con AiCloud ya trascendieron la teoría: investigadores de seguridad detectaron que miles de routers ASUS —especialmente aquellos en fin de vida útil (EoL) o sin soporte— fueron comprometidos en una operación masiva. La campaña, conocida como Operation WrtHug, usó múltiples vulnerabilidades, entre ellas CVE-2025-2492, para infiltrar dispositivos y transformarlos en "cajas de retransmisión operativas" (ORB), parte de una red global de espionaje y ataque.

Según los investigadores, se han identificado más de 50 000 direcciones IP únicas de routers comprometidos alrededor del mundo.

Los routers infectados comparten un certificado TLS autorfirmado con una vigencia de 100 años —un método poco común y considerado un indicador de compromiso— lo que permitió rastrear la magnitud de la operación.

Modelos afectados detectados incluyen (pero no se limitan a): 4G-AC55U, 4G-AC860U, DSL-AC68U, GT-AC5300, GT-AX11000, RT-AC1200HP, RT-AC1300GPLUS, RT-AC1300UHP.

Qué recomienda hacer ASUS (y toda persona que use un router vulnerable)

Ante este escenario, ASUS ha emitido una serie de recomendaciones urgentes:

• Actualizar el firmware del router a la versión más reciente — si hay parche disponible. Esto es fundamental para cerrar CVE-2025-59366, junto con las otras ocho vulnerabilidades.
• Si el router está en fin de vida útil o ya no recibe soporte, ASUS sugiere desactivar AiCloud y cualquier otro servicio accesible desde Internet: acceso remoto WAN, redirección de puertos, DDNS, servidor VPN, DMZ, FTP, etc.
• Usar contraseñas robustas: tanto para la administración del router como para la red inalámbrica — contraseñas largas, únicas, con combinaciones seguras.
• Verificar periódicamente nuevas actualizaciones de firmware y estar alerta ante avisos oficiales de seguridad.

Estas medidas permiten reducir significativamente la superficie de ataque e impedir que routers obsoletos sean comprometidos o integrados a botnets.

¿Por qué urge actuar ya?

La reciente divulgación de CVE-2025-59366 y el resto de vulnerabilidades parcheadas por ASUS evidencia un patrón claro: el uso de funciones "comodín" como AiCloud —aunque práctico— se convierte en una puerta de entrada peligrosa si no se gestiona adecuadamente. La facilidad de explotación, el hecho de que no requiera privilegios ni interacción del usuario, y la posibilidad real de que routers vulnerables formen parte de campañas globales de ciberespionaje, elevan el riesgo a un nivel crítico.

Si administras redes domésticas, micro-oficinas o pymes, la prioridad debe ser inmediata: actualizar firmware, deshabilitar accesos innecesarios desde internet, y reforzar configuración con contraseñas seguras. Sólo así podrás proteger tu infraestructura, tus datos y evitar convertir tu router en un eslabón vulnerable dentro de una red hostil.

Este aviso sirve también como llamado de atención general: la seguridad de las redes empieza en los dispositivos de borde —y en 2025, eso incluye routers domésticos. Mantente al día con los boletines oficiales, evalúa el estado de soporte de tus dispositivos y nunca subestimes la importancia de un firmware actualizado.

Fuente: https://www.bleepingcomputer.com/