Vulnerabilidad 0-day en routers TP-Link
TP-Link está pasando por un momento difícil. La compañía acaba de confirmar una nueva vulnerabilidad zero-day que afecta a varios modelos de sus routers. Al mismo tiempo, la CISA (Agencia de Ciberseguridad e Infraestructura de EE. UU.) ha añadido a su catálogo dos fallos del fabricante que ya están siendo explotados por ciberdelincuentes.
Tres fallos 0-day en la mira
El fallo de seguridad fue descubierto por el investigador independiente Mehrun de ByteRay, quien se lo comunicó a TP-Link el 11 de mayo de 2024. Aunque todavía no tiene un identificador oficial (CVE-ID), se trata de un desbordamiento de búfer en la implementación del protocolo CWMP (CPE WAN Management Protocol).
El problema se encuentra en una función que maneja los mensajes SOAP y, debido a una falta de control de límites, permite la ejecución remota de código si el tamaño del búfer supera los 3072 bytes. Para explotar esta vulnerabilidad, un atacante necesitaría redirigir los dispositivos afectados a un servidor CWMP malicioso. Esto se puede lograr a través de firmwares desactualizados o si el usuario no ha cambiado las contraseñas predeterminadas.
Según las pruebas de Mehrun, los modelos Archer AX10 y Archer AX1500 están afectados. Ambos son routers muy populares a nivel global. También se identificaron posibles vulnerabilidades en los modelos EX141, Archer VR400 y TD-W9970, entre otros.
Una vez que el router es comprometido, un atacante puede hacer que el dispositivo:
Redirija las consultas de DNS a servidores maliciosos.
Intercepte o manipule el tráfico no cifrado.
RInyecte códigos maliciosos en las sesiones web.
TP-Link ya lanzó una actualización para los modelos europeos y está trabajando en parches globales. Mientras tanto, el equipo técnico sigue analizando el problema para confirmar los dispositivos exactos que están expuestos.
¿Qué pueden hacer los usuarios?
Hasta que se liberen las correcciones oficiales, se recomienda a los usuarios que:
Cambien de inmediato las contraseñas predeterminadas del administrador.
Deshabiliten el CWMP si no lo necesitan.
Instalen la última actualización de firmware disponible para su modelo.
Segmenten el router de redes críticas si es posible.
Botnet Quad7 explota otras vulnerabilidades
La CISA ha añadido recientemente dos nuevas vulnerabilidades (CVE-2023-50224 y CVE-2025-9377) a su catálogo de fallos ya explotados por la botnet Quad7 para comprometer routers TP-Link.
CVE-2023-50224 permite el bypass de la autenticación.
CVE-2025-9377 es una falla de inyección de comandos.
La botnet Quad7 lleva explotando estos fallos desde 2023 para instalar malware personalizado en los routers y convertirlos en proxies para el tráfico. Microsoft también observó que en 2024 se utilizó para realizar ataques de pulverización de contraseñas (password spray) en servicios en la nube y en Microsoft 365.
Te puede interesar
Asistencia Técnica
Ofrecemos asistencia técnica profesional para que tu equipo vuelva a funcionar como nuevo.
Mantenimientos
Con un eficiente mantenimiento rutinario permite detectar fallos repetitivos, aumentar la vida útil de equipos
Licencias Originales
¡Activa tu Software legalmente y al instante! Obtén códigos de licencia 100% genuinos para activar tus programas
Recarga de Toner
Recargamos y vendemos las mejores marcas de TONER LASER con la mejor calidad y garantizados.