Tu router TP-Link expone todo tu tráfico a hackers; no hay parche desde hace ocho meses.
Una vulnerabilidad de día cero permite a los atacantes robar contraseñas y controlar la red doméstica de los usuarios.
TP-Link confirmó la existencia de una nueva vulnerabilidad de día cero que afecta a varios modelos de sus routers. El problema fue descubierto por un investigador independiente que actúa bajo el seudónimo Mehrun (ByteRay). Él informó sobre ella el 11 de mayo de 2024, sin embargo hasta ahora la corrección no se ha publicado para todos los dispositivos. La compañía reconoció la existencia del fallo y declaró que está trabajando en actualizaciones. Por el momento la solución está disponible solo para las versiones europeas del firmware, y la adaptación para EE. UU. y otras regiones continúa sin plazos concretos de salida.
La vulnerabilidad aún no ha recibido un identificador CVE. Se trata de un desbordamiento de búfer en la implementación del protocolo CWMP (CPE WAN Management Protocol), utilizado para la administración remota de routers. El fallo se encuentra en la función que procesa los mensajes SOAP SetParameterValues: las llamadas a strncpy se realizan sin comprobación de límites, lo que, con un tamaño del búfer de entrada superior a 3072 bytes, puede permitir la ejecución de código arbitrario. Mehrun explicó que un ataque real podría llevarse a cabo mediante la suplantación de un servidor CWMP y el envío de una solicitud SOAP especialmente creada. Esto puede lograrse tanto por la explotación de firmwares antiguos como por el uso de credenciales predeterminadas que los propietarios no cambiaron tras la compra.
En una explotación exitosa, el atacante puede redirigir consultas DNS a servidores falsos, interceptar o modificar sin ser detectado el tráfico no cifrado, así como insertar datos maliciosos en las sesiones de los usuarios. El investigador confirmó que son vulnerables los modelos Archer AX10 y Archer AX1500, que aún están a la venta y gozan de amplia popularidad. Además, podrían verse afectados los modelos EX141, Archer VR400, TD-W9970 y varios otros dispositivos del fabricante.
TP-Link aclaró que los especialistas de la empresa están analizando el grado de riesgo y verificando si CWMP está habilitado por defecto. Se recomienda a los usuarios, hasta la publicación de las correcciones, cambiar las contraseñas predeterminadas de administrador, desactivar CWMP si no se utiliza, actualizar el firmware a la última versión y, si es posible, aislar el router de los segmentos críticos de la red.
Las huellas digitales son tu debilidad, y los hackers lo saben