Actualicen el firmware cuanto antes para que los ciberdelincuentes no arruinen sus victorias online.
Se ha descubierto una grave vulnerabilidad en el router de juegos TP-Link Archer C5400X que permite la ejecución remota de código en los dispositivos vulnerables mediante el envío de solicitudes especialmente diseñadas.
La vulnerabilidad, identificada como CVE-2024-5035, tiene la máxima puntuación de 10.0 en la escala CVSS. Afecta a todas las versiones del firmware del router hasta la versión 1_1.1.6.
«La explotación exitosa de esta vulnerabilidad permite a los atacantes remotos no autenticados ejecutar comandos arbitrarios en el dispositivo con privilegios elevados», informó ayer la empresa de ciberseguridad alemana ONEKEY en su informe.
El problema reside en el archivo binario «rftest» para pruebas de radiofrecuencia, que se ejecuta cada vez que se inicia el dispositivo y abre un escuchador de red (Network Listener) en los puertos TCP 8888, 8889 y 8890, permitiendo a un atacante remoto no autenticado ejecutar código.
Si bien el servicio de red está destinado a aceptar comandos que comiencen con «wl» o «nvram get», ONEKEY descubrió que esta restricción se puede eludir fácilmente inyectando un comando después de caracteres de shell como «;», «&» o «|» (por ejemplo, «wl;id;»).
En la versión 1_1.1.7 Build 20240510, lanzada el 24 de mayo de 2024, TP-Link solucionó la vulnerabilidad descartando cualquier comando que contenga estos caracteres especiales.
«Parece que la necesidad de proporcionar una API para configurar dispositivos inalámbricos en TP-Link se abordó de manera demasiado apresurada o barata, lo que llevó a la apertura de un shell restringido en la red que los clientes podrían usar en el enrutador para configurar dispositivos inalámbricos», señalaron los expertos de ONEKEY.
Este incidente subraya la necesidad de un análisis de riesgos exhaustivo y pruebas minuciosas de los componentes y las API de red al desarrollar dispositivos que manejan solicitudes remotas. La seguridad debe ser una parte integral del proceso de diseño, no un «parche» adicional que se agrega más adelante.