La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) agregó el miércoles dos fallas de seguridad que afectan a los enrutadores inalámbricos TP-Link a su catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ), y señaló que hay evidencia de que están siendo explotadas en la naturaleza.
Las vulnerabilidades en cuestión se enumeran a continuación:
- CVE-2023-50224 (puntuación CVSS: 6,5): Vulnerabilidad de omisión de autenticación mediante suplantación de identidad en el servicio httpd del TP-Link TL-WR841N, que escucha en el puerto TCP 80 por defecto, lo que provoca la divulgación de credenciales almacenadas en «/tmp/dropbear/dropbearpwd».
- CVE-2025-9377 (puntuación CVSS: 8,6): una vulnerabilidad de inyección de comandos del sistema operativo en TP-Link Archer C7(EU) V2 y TL-WR841N/ND(MS) V9 que podría provocar la ejecución remota de código.
Según la información que aparece en el sitio web de la empresa, los siguientes modelos de enrutadores han alcanzado el estado de fin de vida útil (EoL):
- TL-WR841N (versiones 10.0 y 11.0)
- TL-WR841ND (versión 10.0)
- Archer C7 (versiones 2.0 y 3.0)
Sin embargo, TP-Link ha lanzado actualizaciones de firmware para las dos vulnerabilidades a partir de noviembre de 2024 debido a la actividad de explotación maliciosa.
«Los productos afectados han alcanzado el fin de su servicio (EOS) y ya no reciben soporte activo, incluidas las actualizaciones de seguridad», declaró la compañía . «Para una mayor protección, recomendamos a los clientes que actualicen su hardware a uno más nuevo para garantizar un rendimiento y una seguridad óptimos».
No hay informes públicos que hagan referencia explícita a la explotación de las vulnerabilidades mencionadas anteriormente, pero TP-Link, en un aviso actualizado la semana pasada, vinculó la actividad en vivo a una botnet conocida como Quad7 (también conocida como CovertNetwork-1658), que ha sido aprovechada por un actor de amenazas vinculado a China con nombre en código Storm-0940 para llevar a cabo ataques de pulverización de contraseñas altamente evasivos.
Ante la explotación activa, se insta a las agencias del Poder Ejecutivo Civil Federal (FCEB) a aplicar las mitigaciones necesarias antes del 24 de septiembre de 2025 para proteger sus redes.
El desarrollo se produce un día después de que CISA colocara otra falla de seguridad de alta gravedad que afecta a los productos TP-Link TL-WA855RE Wi-Fi Ranger Extender (CVE-2020-24363, puntaje CVSS: 8.8) en su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
Fuente y redacción: thehackernews.com