Miles de routers TP-Link aún son vulnerables a hackeos remotos que permiten control total

Los routers son la primera barrera de defensa de posibles hackeos cuando navegamos por Internet, y es que todos los dispositivos que están conectados a la red local doméstica cuentan con su firewall para bloquear posibles ataques externos. Se ha descubierto que miles de routers del fabricante TP-Link están afectados por una vulnerabilidad que permiten tomar el control total del dispositivo. ¿Quieres conocer todos los detalles sobre este fallo de seguridad del cual podrías estar afectado?

¿Qué fallo de seguridad tienen los routers TP-Link?

Miles de routers del fabricante TP-Link están afectados actualmente por una vulnerabilidad que permitiría tomar el control del dispositivo remotamente, de esta forma, un cibercriminal podría acceder remotamente a la administración del dispositivo, siempre y cuando el usuario de dicho router no haya cambiado las credenciales por defecto. La vulnerabilidad permitiría que casi cualquier usuario pueda acceder de manera remota al router utilizando estas credenciales por defecto, las cuales normalmente son admin/admin (usuario y contraseña). En el peor de los casos, un atacante con amplios conocimientos podría atacar los dispositivos vulnerables a escala masiva, y crear una botnet como la popular Mirai, ya que podría rastrear la web y secuestrar todos y cada uno de los routers y acceder con permisos de administrador.

Andrew Mabbitt de la compañía de seguridad Fidus Information Security fue el primero en descubrir este fallo de seguridad en octubre de 2017. Unas semanas después, el fabricante TP-Link lanzó el correspondiente parche para el modelo TP-Link TL-WR940N, pero Andrew volvió a contactar con TP-Link en enero de 2018 debido a que otro modelo de router también era vulnerable a este mismo fallo ya que compartían código fuente. El segundo modelo afectado es el TP-Link TL-WR740N, uno de los routers de gama de entrada más vendidos por el fabricante, y el cual en muchas ocasiones se proporciona con operadores locales debido a su bajo coste.

En este segundo caso, aunque el fabricante TP-Link lo reparó casi inmediatamente, pero no subieron este firmware con la vulnerabilidad corregida a la web oficial de la compañía, hasta que la publicación TechCrunch contactó con TP-Link y decidieron publicar el firmware. Es decir, TP-Link arregló el firmware y solamente lo proporcionaba si contactabas con el soporte técnico, esto hace que todos los usuarios del router TP-Link TL-WR740N han estado expuestos durante 1 año a este fallo de seguridad.

El fabricante TP-Link se ha negado a revelar cuántos routers potencialmente vulnerables se habían vendido, pero sí comentó que el modelo TP-Link TL-WR740N ya no recibía actualizaciones de firmware debido a que era un modelo antiguo. En motores de búsqueda como Shodan, se ha descubierto que entre 129.000 y 149.000 dispositivos estarían afectados, aunque solo estarían afectados los routers con las credenciales por defecto.

¿Qué implicaciones tiene este fallo de seguridad que permite acceso remoto total al router?

En RedesZone hemos dicho en innumerables ocasiones que los routers son el corazón de la red, y cualquier fallo de seguridad en estos dispositivos, hace que toda la red local doméstica sea vulnerable a ataques externos, robo de información, ataques de denegación de servicio y mucho más. Este fallo de seguridad permitía obtener el control completo del router como administrador, y, además, lo permitía de forma remota.

Cualquier atacante podría cambiar la configuración del router y configurar unos servidores DNS controlados por dicho atacante, y de esta forma, redirigir a los usuarios a página webs falsas con el objetivo de robar credenciales de usuario, identidades digitales, cuentas bancarias y mucho más.

¿Qué modelos están afectados?

Hay dos modelos de routers afectados por esta vulnerabilidad, el modelo TP-Link TL-WR940N y el TP-Link TL-WR740N, por tanto, te recomendamos que visites la web oficial del fabricante para descargar e instalar la última versión de firmware disponible. Un detalle importante, es que en caso de que hayas cambiado la contraseña por defecto, no estarías afectado por la vulnerabilidad, algo que pocos usuarios hacen.

Otras vulnerabilidades recientes de TP-Link

En los últimos meses el fabricante ha tenido más problemas de seguridad en varios de sus routers, en abril se descubrió que dos modelos de routers, entre los que se incluye este TP-Link TL-WR940N y el TL-WR941ND estaban afectados por un zero-day que permitía realizar un ataque de buffer overflow y tomar el control del dispositivo de manera remota:

También se descubrió otro zero day en el modelo TP-Link SR20 que está orientado específicamente al Internet de las Cosas, y es que este dispositivo integra todo lo necesario para comunicarse con dispositivos Smart Home. La vulnerabilidad fue descubierta por el equipo de seguridad de Google, y el fabricante no proporcionó ninguna respuesta en los típicos 90 días de margen antes de hacerlo público. Este fallo permitía ejecutar comandos arbitrarios en el router con permisos de administrador, por tanto, podrían hacerse también con el control total del dispositivo. Tenéis todos los detalles a continuación:

Si tienes un router TP-Link, os recomendamos verificar en la web oficial de la compañía si existe un nuevo firmware que solucione estas vulnerabilidades, y cambiar la contraseña de administrador lo antes posible para estar más protegidos.