Un simple GET te da acceso root: 70.000 dispositivos XSpeeder en China llevan siete meses vulnerables y el fabricante guarda silencio.
Analizamos cómo la negligencia en la arquitectura de XSpeeder perjudicó a sus clientes corporativos
Se ha detectado una vulnerabilidad crítica en los dispositivos XSpeeder que puede permitir la ejecución remota de código arbitrario sin autenticación. XSpeeder — fabricante chino de equipamiento de red para redes corporativas. El hardware de la empresa se utiliza en oficinas remotas e infraestructuras industriales y está ampliamente desplegado en distintos países.
Según la plataforma técnica Pwn.ai, el problema afecta a más de 70 000 dispositivos accesibles públicamente en internet. El equipo se ha difundido principalmente en infraestructuras de sucursales remotas y en instalaciones industriales.
La vulnerabilidad recibió el identificador CVE-2025-54322. Permite obtener privilegios de superusuario sin credenciales. El origen del problema es un error en la capa web de la autenticación de los dispositivos que funcionan con el sistema operativo propietario SXZOS. Durante el análisis del firmware, los especialistas comprobaron que se puede eludir la secuencia de mecanismos de protección primitivos y acceder a un punto final crítico.
La función eval() desempeña un papel clave en el ataque, ya que ejecuta datos decodificados desde base64 transmitidos a través de parámetros de la consulta. Este enfoque de validación de entrada se considera extremadamente inseguro. Se ha comprobado que los elementos débiles de protección, incluida la verificación de cookies de sesión, un escaneo rudimentario de la carga útil y los encabezados sincronizados por tiempo, no son suficientes para impedir los ataques.
Una sola petición GET permite al atacante inyectar código Python arbitrario y ejecutar comandos del sistema con privilegios de root. El problema se agrava porque han pasado siete meses desde su descubrimiento, sin que el fabricante respondiera a las notificaciones y sin que se haya publicado una actualización para corregir la vulnerabilidad.
Los especialistas subrayan que decidieron publicar la información sobre este dispositivo primero debido a la prolongada indiferencia de XSpeeder. También resaltan la importancia del incidente, porque es el primer caso en que se detectó una vulnerabilidad RCE mediante una herramienta autónoma de pruebas automatizadas. Este enfoque permite encontrar errores críticos que anteriormente podían pasar desapercibidos con métodos tradicionales.
Se recomienda a las organizaciones que utilizan el equipo XSpeeder con SXZOS restringir de inmediato el acceso a los dispositivos, aislarlos de las redes externas e implementar filtrado a nivel de enrutamiento. La situación ilustra claramente cuán peligrosas pueden ser las negativas de los fabricantes a colaborar cuando existen vulnerabilidades graves en el segmento del equipamiento de red empresarial.
Las huellas digitales son tu debilidad, y los hackers lo saben