Se ha descubierto una vulnerabilidad crítica de ejecución de código remoto de día cero (RCE), identificada como CVE-2025-9961, en los enrutadores TP-Link.
La firma de investigación de seguridad Byteray ha publicado una exploit de prueba de concepto (POC), lo que demuestra cómo los atacantes pueden evitar las protecciones de aleatorización del diseño del espacio (ASLR) para obtener el control total sobre los dispositivos afectados.
La vulnerabilidad reside en el Equipo de instalaciones del cliente del enrutador (CPE) Protocolo de gestión WAN (CWMP) binario, un componente del protocolo TR-069 utilizado por los proveedores de servicios para la gestión de dispositivos remotos.
Desglose técnico de la exploit
El núcleo de la vulnerabilidad es un desbordamiento de búfer basado en pila dentro del proceso CWMP. Los investigadores de Byteray descubrieron que al enviar una solicitud maliciosa, podían sobrescribir el contador del programa (PC) y confiscar el control del flujo de ejecución.
Sin embargo, la presencia de ASLR, una característica de seguridad que aleatoriza las direcciones de memoria de las áreas clave de datos, presentó un obstáculo significativo.
Dado que el exploit no implicó una fuga de información para revelar los diseños de memoria, los investigadores idearon una estrategia de fuerza bruta. Adivinaron repetidamente la dirección base de la biblioteca C estándar (LIBC) para localizar la función System ().
Escenario de ataque
Una suposición incorrecta bloquearía el servicio CWMP, pero los investigadores notaron que un atacante con acceso al panel web TP-Link podría simplemente reiniciar el servicio, haciendo práctico el ataque de fuerza bruta.
El flujo de trabajo de ataque requiere que el enrutador esté configurado para aceptar el servidor de configuración automático personalizado (ACS) del atacante. El exploit se entrega a través de una solicitud SetParametervalues que contiene la carga útil.
La carga útil final utiliza una técnica de regreso a Libc (RET2LIBC) para llamar a la función System () con un argumento de comando.
Este comando instruye al enrutador que descargue y ejecute un binario malicioso (por ejemplo, un shell inverso) de un servidor controlado por el atacante, otorgando al atacante el acceso remoto completo.
Descubrimiento y lanzamiento de POC
El equipo de investigación de Byteray hizo el descubrimiento. Durante su análisis, encontraron un problema en el que la plataforma GenieAcs estándar corrompió la carga útil binaria, evitando la explotación exitosa. Esto los obligó a desarrollar un emulador ACS personalizado capaz de transmitir fielmente el código de exploit.
El equipo ha publicado una redacción técnica detallada y el código de exploit completo en Github. Afirman que el lanzamiento está destinado a fines educativos e investigación de seguridad, lo que permite a los administradores probar sus propios dispositivos. El uso no autorizado de otros sistemas es ilegal.
Exploit de POC
Esta vulnerabilidad es crítica, ya que la explotación exitosa permite la ejecución completa del código remoto en el enrutador. Esto podría permitir a un atacante interceptar el tráfico, lanzar más ataques a la red local o incluir el dispositivo en una botnet.
La investigación subraya los riesgos de seguridad asociados con los protocolos de gestión de la red como TR-069, donde incluso los errores de análisis menores pueden aumentar en amenazas graves.
El exploit destaca que las mitigaciones de seguridad como ASLR a veces se pueden pasar por alto con estrategias de ataque creativo.
Se recomienda a los usuarios de los enrutadores TP-Link que supervisen las actualizaciones de firmware del proveedor y los apliquen tan pronto como estén disponibles para reparar esta vulnerabilidad.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
