Underc0de - La Casa de los Informáticos

El Centro de Coordinación CERT (CERT/CC) ha revelado recientemente los detalles de una grave vulnerabilidad de seguridad sin parchear que afecta al extensor inalámbrico TOTOLINK EX200, un dispositivo ampliamente utilizado para ampliar la cobertura de redes Wi-Fi domésticas y empresariales. El fallo, identificado como CVE-2025-65606, podría permitir que un atacante autenticado remotamente obtenga control total del sistema, incluyendo acceso con privilegios de usuario root sin necesidad de autenticación adicional.

De acuerdo con CERT/CC, la vulnerabilidad reside en un error lógico en el gestor de subida del firmware, el cual puede ser explotado mediante la carga de archivos de firmware especialmente diseñados. Este comportamiento anómalo provoca que el dispositivo inicie inadvertidamente un servicio telnet no autenticado a nivel raíz, exponiendo completamente el sistema operativo interno del equipo.

Detalles técnicos de la vulnerabilidad CVE-2025-65606

El fallo CVE-2025-65606 ha sido clasificado como una vulnerabilidad de lógica de gestión de errores, un tipo de debilidad que suele pasar desapercibida durante el desarrollo del software, pero que puede tener consecuencias críticas en entornos reales. Aunque la puntuación CVSS oficial aún no ha sido publicada, el impacto potencial es elevado debido a la escala de privilegios y la posibilidad de ejecución arbitraria de comandos.

CERT/CC atribuyó el descubrimiento y la divulgación responsable del problema al investigador de seguridad Leandro Kogan, quien identificó que el gestor de carga de firmware entra en un "estado de error anormal" cuando procesa ciertos archivos de firmware malformados. En lugar de abortar la operación de forma segura, el sistema reacciona iniciando un servicio telnet con privilegios root y sin ningún mecanismo de autenticación.

"Un atacante autenticado puede activar una condición de error en el gestor de subida del firmware que hace que el dispositivo inicie un servicio telnet raíz no autenticado, otorgando acceso completo al sistema", explicó CERT/CC en su aviso de seguridad.

Requisitos para la explotación

Para explotar esta vulnerabilidad, el atacante debe estar previamente autenticado en la interfaz de administración web del dispositivo, lo que implica acceso a las credenciales de gestión o la explotación previa de otro fallo. Sin embargo, este requisito no reduce significativamente el riesgo, ya que muchos dispositivos de red:

• Utilizan contraseñas débiles o predeterminadas
• Exponen interfaces de administración a redes no confiables
• Carecen de mecanismos de detección de actividad maliciosa

Una vez activado el servicio telnet no intencionado, el atacante obtiene acceso root completo, eliminando cualquier restricción de seguridad impuesta por la interfaz web.

Impacto y riesgos de seguridad

El impacto de esta vulnerabilidad va más allá del control individual del dispositivo. Un extensor inalámbrico comprometido puede convertirse en un punto estratégico para ataques más amplios, incluyendo:

• Manipulación de la configuración de red, como redirección de tráfico o cambios de DNS
• Intercepción de comunicaciones, facilitando ataques de tipo Man-in-the-Middle
• Persistencia maliciosa, mediante la instalación de backdoors o scripts de inicio
• Integración en botnets, utilizadas para ataques DDoS o campañas de escaneo masivo

Dado que los extensores Wi-Fi suelen ubicarse en posiciones intermedias dentro de la red, su compromiso representa un riesgo significativo tanto para usuarios domésticos como para pequeñas organizaciones.

Falta de parche y abandono del producto

Uno de los aspectos más preocupantes del aviso de CERT/CC es que TOTOLINK no ha publicado ningún parche para corregir esta vulnerabilidad. Además, se indica que el TOTOLINK EX200 ya no se mantiene activamente, lo que reduce drásticamente las probabilidades de recibir actualizaciones de seguridad en el futuro.

La página oficial del fabricante muestra que el último firmware disponible fue publicado en febrero de 2023, lo que confirma que el dispositivo se encuentra, en la práctica, fuera de su ciclo de soporte. Esta situación es común en dispositivos de red de bajo costo y representa un problema estructural en términos de ciberseguridad.

Recomendaciones de mitigación

Ante la ausencia de una solución oficial, CERT/CC recomienda adoptar medidas de mitigación inmediatas para reducir el riesgo de explotación:

• Restringir el acceso administrativo únicamente a redes de confianza
• Evitar la exposición de la interfaz de gestión a Internet
• Cambiar credenciales predeterminadas y utilizar contraseñas robustas
• Monitorizar actividad anómala, como conexiones telnet inesperadas
• Considerar la sustitución del dispositivo por un modelo compatible y mantenido activamente

En entornos donde la seguridad es prioritaria, la mejor opción sigue siendo retirar dispositivos sin soporte y optar por fabricantes con políticas claras de actualizaciones y respuesta ante vulnerabilidades.

Un recordatorio sobre la seguridad de dispositivos IoT y de red

El caso del TOTOLINK EX200 subraya un problema recurrente en el ecosistema de dispositivos IoT y de red: la falta de mantenimiento a largo plazo y la exposición de fallos críticos sin mecanismos de corrección. Para los atacantes, estos equipos representan objetivos atractivos debido a su baja visibilidad y escasa protección.

La divulgación de la vulnerabilidad CVE-2025-65606 refuerza la importancia de auditar periódicamente la infraestructura de red, mantener un inventario actualizado de dispositivos y evaluar los riesgos asociados a productos que han llegado al final de su vida útil.

Fuente: https://thehackernews.com/