Surge un nuevo día cero en TP-Link

Iniciado por AXCESS, Septiembre 05, 2025, 01:16:55 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Septiembre 05, 2025, 01:16:55 AM Ultima modificación: Septiembre 05, 2025, 01:19:48 AM por AXCESS


TP-Link ha confirmado la existencia de una vulnerabilidad de día cero sin parchear que afecta a varios modelos de routers, mientras que CISA advierte que otras fallas de routers se han explotado en ataques.

La vulnerabilidad de día cero fue descubierta por el investigador de amenazas independiente Mehrun (ByteRay), quien indicó que la reportó por primera vez a TP-Link el 11 de mayo de 2024.

El gigante chino de equipos de red confirmó a BleepingComputer que actualmente está investigando la explotabilidad y exposición de la falla.

Aunque, según se informa, ya se ha desarrollado un parche para los modelos europeos, se está trabajando en el desarrollo de correcciones para las versiones de firmware de EE. UU. y del resto del mundo, sin fechas estimadas.

"TP-Link tiene conocimiento de la vulnerabilidad recientemente descubierta que afecta a ciertos modelos de routers, según lo informado por ByteRay", se lee en el comunicado que TP-Link Systems Inc. envió a BleepingComputer.

Nos tomamos muy en serio estos hallazgos y ya hemos desarrollado un parche para los modelos europeos afectados. Actualmente, estamos trabajando para adaptar y agilizar las actualizaciones para las versiones de EE. UU. y otras versiones globales.

Nuestro equipo técnico también está revisando en detalle los hallazgos notificados para confirmar los criterios de exposición del dispositivo y las condiciones de implementación, incluyendo si CWMP está habilitado por defecto.

Recomendamos encarecidamente a todos los usuarios que mantengan sus dispositivos actualizados con el firmware más reciente a medida que esté disponible a través de nuestros canales de soporte oficiales.

La vulnerabilidad, que aún no tiene un CVE-ID asignado, consiste en un desbordamiento de búfer basado en la pila en la implementación de CWMP (Protocolo de Gestión de CPE WAN) de TP-Link en un número desconocido de routers.

El investigador Mehrun, quien encontró la falla mediante el análisis automatizado de binarios de routers, explica que se encuentra en una función que gestiona los mensajes SOAP SetParameterValues.

El problema se debe a la falta de comprobación de límites en las llamadas 'strncpy', lo que permite la ejecución remota de código mediante un desbordamiento de búfer cuando el tamaño del búfer de la pila supera los 3072 bytes.

Mehrun afirma que un ataque realista consistiría en redirigir los dispositivos vulnerables a un servidor CWMP malicioso y luego entregar la carga útil SOAP de gran tamaño para provocar el desbordamiento de búfer.

Esto se puede lograr explotando fallos en firmware obsoleto o accediendo al dispositivo con credenciales predeterminadas que los usuarios no han modificado.

Una vez comprometido mediante RCE, el enrutador puede recibir instrucciones para redirigir las consultas DNS a servidores maliciosos, interceptar o manipular silenciosamente el tráfico no cifrado e inyectar cargas maliciosas en las sesiones web.

El investigador confirmó mediante pruebas que los routers TP-Link Archer AX10 y Archer AX1500 utilizan binarios CWMP vulnerables. Ambos son modelos de routers muy populares, actualmente disponibles para la venta en varios mercados.

Mehrun también señaló que los routers EX141, Archer VR400, TD-W9970 y posiblemente otros modelos de TP-Link podrían estar afectados.

Hasta que TP-Link determine qué dispositivos son vulnerables y publique soluciones para ellos, los usuarios deben cambiar las contraseñas de administrador predeterminadas, desactivar CWMP si no es necesario e instalar la última actualización de firmware para su dispositivo. Si es posible, separe el router de las redes críticas.

CISA advierte sobre vulnerabilidades explotadas en TP-Link

Ayer, CISA añadió otras dos vulnerabilidades de TP-Link, identificadas como CVE-2023-50224 y CVE-2025-9377, al catálogo de vulnerabilidades explotadas conocidas que la botnet Quad7 ha explotado para comprometer routers. CVE-2023-50224 es una falla de omisión de autenticación, y CVE-2025-9377 es una falla de inyección de comandos. Al combinarse, permiten a los actores de amenazas ejecutar código remoto en dispositivos TP-Link vulnerables.

Desde 2023, la botnet Quad7 ha estado explotando estas fallas para instalar malware personalizado en routers que los convierte en proxies y repetidores de tráfico.

Los actores de amenazas chinos han estado utilizando estos enrutadores comprometidos para retransmitir ataques maliciosos, integrándose con el tráfico legítimo para evadir la detección.

En 2024, Microsoft observó que los actores de amenazas utilizaban la botnet para realizar ataques de rociado de contraseñas en servicios en la nube y Microsoft 365, con el objetivo de robar credenciales.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario