TP-Link ha confirmado la existencia de una vulnerabilidad de día cero sin parpadeo que impacta múltiples modelos de enrutadores, ya que CISA advierte que otras fallas del enrutador han sido explotadas en los ataques.
La vulnerabilidad del día cero fue descubierto por el investigador de amenazas independientes Mehrun (Byteray), quien notó que lo informó por primera vez a TP-Link el 11 de mayo de 2024.
El gigante de equipos de redes chinos confirmó a BleepingComuter que actualmente está investigando la explotabilidad y la exposición del defecto.
Aunque, según los informes, un parche ya está desarrollado para modelos europeos, el trabajo está en marcha para desarrollar soluciones para versiones de firmware de EE. UU. Y globales, sin estimaciones de fecha específicas dadas.
«TP-Link es consciente de la vulnerabilidad recientemente revelada que afecta a ciertos modelos de enrutadores, según lo informado por Byteray», se lee en la declaración TP-Link Systems Inc. enviada a BleepingComuter.
«Tomamos estos hallazgos en serio y ya hemos desarrollado un parche para modelos europeos impactados. Actualmente se está trabajando para adaptar y acelerar actualizaciones para nosotros y otras versiones globales».
«Nuestro equipo técnico también está revisando los hallazgos informados en detalle para confirmar los criterios de exposición del dispositivo y las condiciones de implementación, incluido si CWMP está habilitado de forma predeterminada».
«Alentamos encarecidamente a todos los usuarios a mantener sus dispositivos actualizados con el último firmware, ya que está disponible a través de nuestros canales de soporte oficiales».
La vulnerabilidad, que aún no tiene un ID CVE asignado a ella, es un desbordamiento de búfer basado en la pila en la implementación de CWMP (Protocolo de gestión de WAN CPE) basado en TP-Link en un número desconocido de enrutadores.
El investigador Mehrun, quien encontró la falla a través del análisis automatizado de contaminación de binarios del enrutador, explica que se encuentra en una función que maneja los mensajes SOAPParametervalues.
El problema es causado por la falta de límites que verifican las llamadas 'strncpy', lo que permite lograr la ejecución de código remoto a través del desbordamiento del búfer cuando el tamaño del búfer de pila está por encima de 3072 bytes.
Mehrun dice que un ataque realista sería redirigir dispositivos vulnerables a un servidor CWMP malicioso y luego entregar la carga útil de jabón de gran tamaño para activar el desbordamiento del búfer.
Esto se puede lograr explotando fallas en un firmware obsoleto o accediendo al dispositivo utilizando credenciales predeterminadas que los usuarios no han cambiado.
Una vez comprometido a través de RCE, el enrutador puede recibir instrucciones de redirigir consultas DNS a servidores maliciosos, interceptar o manipular silenciosamente el tráfico no entrelazado e inyectar cargas útiles maliciosas en las sesiones web.
El investigador confirmó a través de las pruebas que TP-Link Archer AX10 y Archer AX1500 utilizan binarios CWMP vulnerables. Ambos son modelos de enrutadores muy populares que están actualmente disponibles para la venta en múltiples mercados.
Mehrun también señaló que EX141, Archer VR400, TD-W9970, y posiblemente varios otros modelos de enrutadores de TP-Link se ven potencialmente afectados.
Hasta que TP-Link determine qué dispositivos son vulnerables y publique correcciones para ellos, los usuarios deben cambiar las contraseñas de administrador predeterminadas, deshabilitar CWMP si no es necesario y aplicar la última actualización de firmware para su dispositivo. Si es posible, segmente el enrutador de las redes críticas.
CISA advierte de fallas de enlace TP explotada
Ayer, CISA agregó otros dos defectos de TP-Linkrastreó CVE-2023-50224 y CVE-2025-9377, al catálogo de vulnerabilidad explotado conocido de que la botnet Quad7 ha explotado para comprometer los enrutadores.
CVE-2023-50224 es una falla de derivación de la autenticación, y CVE-2025-9377 es un defecto de inyección de comando. Cuando se encadenan, permiten a los actores de amenaza obtener una ejecución de código remoto en dispositivos TP-Link vulnerables.
Desde 2023, el Quad7 Botnet ha estado explotando los defectos Para instalar malware personalizado en enrutadores que los convierten en proxies y relés de tráfico.
Los actores de amenaza china han estado utilizando estos enrutadores comprometidos para ataques maliciosos o de reas de retransmisión mientras se mezclan con el tráfico legítimo para evadir la detección.
En 2024, Microsoft observado Los actores de amenaza que usan la botnet para realizar ataques con contraseña en los servicios en la nube y Microsoft 365, con el objetivo de robar credenciales.
El 46% de los entornos tenían contraseñas agrietadas, casi duplicando desde el 25% el año pasado.
Obtenga el informe PICUS Blue 2025 ahora para ver más hallazgos sobre la prevención, la detección y las tendencias de exfiltración de datos.
