La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó el miércoles dos defectos de seguridad que afectan los enrutadores inalámbricos TP-Link a sus conocidos catálogo de vulnerabilidades explotadas (KEV), señalando que hay evidencia de que se explotan en la naturaleza.
Las vulnerabilidades en cuestión se enumeran a continuación –
- CVE-2023-50224 (Puntuación CVSS: 6.5): una autenticación omitida al falsificar la vulnerabilidad dentro del servicio HTTPD de TP-Link TL-WR841N, que escucha en el puerto TCP 80, lo que lleva a la divulgación de credenciales almacenadas en «/TMP/Dropear/DropBearpwd»
- CVE-2025-9377 (Puntuación CVSS: 8.6)-Una vulnerabilidad de inyección de comando del sistema operativo en TP-Link Archer C7 (EU) V2 y TL-WR841N/ND (MS) V9 que podría conducir a la ejecución de código remoto
Según la información que figura en el sitio web de la compañía, los siguientes modelos de enrutadores han alcanzado el estado de fin de vida (EOL)-
- TL-WR841N (versiones 10.0 y 11.0)
- TL-WR841nd (versión 10.0)
- Archer C7 (versiones 2.0 y 3.0)
Sin embargo, TP-Link ha lanzado actualizaciones de firmware para las dos vulnerabilidades a partir de noviembre de 2024 debido a la actividad de explotación maliciosa.
«Los productos afectados han alcanzado su fin de servicio (EOS) y ya no reciben soporte activo, incluidas las actualizaciones de seguridad», dijo la compañía. «Para una protección mejorada, recomendamos que los clientes se actualicen al hardware más nuevo para garantizar un rendimiento y seguridad óptimos».
No hay informes públicos que hacen referencia explícitamente a la explotación de las vulnerabilidades antes mencionadas, pero TP-Link, en un aviso actualizado la semana pasada, vinculada la actividad en el flujo a un Botnet conocido como Quad7 (también conocido como CovertNetwork-1658), que ha sido apalancada por un actor de amenaza de amenaza por vía de China en el que el actor de amenaza con el nombre de 0940 con altamente evasivos ataques de spray de spray.
A la luz de la explotación activa, se insta a las agencias federales de rama ejecutiva civil (FCEB) a aplicar las mitigaciones necesarias antes del 24 de septiembre de 2025 para asegurar sus redes.
El desarrollo se produce un día después de que CISA colocó otra falla de seguridad de alta severidad que impacta TP-Link TL-WA855RE Wi-Fi Ranger Extender Products (CVE-2020-24363, puntaje CVSS: 8.8) a su conocido catalógeno de vulnerabilidades explotadas (KEV), citando evidencia de explotación activa.