La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) el miércoles adicional dos fallas de seguridad que afectan a los enrutadores inalámbricos TP-Link y sus vulnerabilidades conocidas explotadas ( KEV ), señalando que hay evidencia de que están siendo explotados en estado salvaje.
Las vulnerabilidades en cuestión se enumeran a continuación -
- CVE-2023-50224 (Puntuación CVSS: 6.5): una vulnerabilidad de elusión de autenticación mediante suplantación de identidad en el servicio httpd del TP-Link TL-WR841N, que escucha en el puerto TCP 80 de forma predeterminada, lo que provoca la divulgación de las credenciales almacenadas en «/tmp/dropbear/dropbearpwd»
- CVE-2025-9377 (Puntuación CVSS: 8.6): una vulnerabilidad de inyección de comandos del sistema operativo en TP-Link Archer C7 (EU) V2 y TL-WR841N/ND (MS) V9 que podría provocar la ejecución remota de código
De acuerdo con información listados en el sitio web de la empresa, los siguientes modelos de enrutadores han alcanzado el final de su vida útil (EoL):
- TL-WR841N (versiones 10.0 y 11.0)
- TL-WR841ND (versión 10.0)
- Archer C7 (versiones 2.0 y 3.0)
Sin embargo, TP-Link publicó actualizaciones de firmware para las dos vulnerabilidades a partir de noviembre de 2024 debido a una actividad de explotación maliciosa.
«Los productos afectados han llegado a su fin de servicio (EOS) y ya no reciben soporte activo, incluidas las actualizaciones de seguridad», dijeron desde la empresa dijo . «Para mejorar la protección, recomendamos a los clientes que se actualicen a un hardware más nuevo para garantizar un rendimiento y una seguridad óptimos».
No hay informes públicos que hagan referencia explícita a la explotación de las vulnerabilidades antes mencionadas, pero TP-Link, en un aviso actualizado la semana pasada, vinculó la actividad salvaje a una botnet conocida como Quad 7 (también conocido como CovertNetwork-1658), que ha sido aprovechado por un actor de amenazas vinculado a China con nombre en código Tormenta-0940 para llevar a cabo ataques de pulverización de contraseñas altamente evasivos.
A la luz de la explotación activa, se insta a las agencias del Poder Ejecutivo Civil Federal (FCEB) a aplicar las mitigaciones necesarias antes del 24 de septiembre de 2025 para proteger sus redes.
El desarrollo se produce un día después de la CISA colocado otro fallo de seguridad de alta gravedad que afecta a los productos del extensor Wi-Fi Ranger TL-WA855RE TL-WA855RE de TP-Link (CVE-2020-24363, puntuación CVSS: 8,8) de su catálogo de vulnerabilidades conocidas explotadas (KEV), y cita pruebas de explotación activa.