El popular fabricante de routers TP-Link se ha visto envuelto en otro problema de seguridad en sus equipos. Anteriormente vimos cómo este fabricante ha lanzado routers con múltiples vulnerabilidades de seguridad, algunas de ellas de nivel crítico, para posteriormente lanzar un parche para solucionar el problema. Este último fallo de seguridad afecta a los routers TP-Link Archer AX21 que disponen de Wi-Fi 6, por lo que son modelos actuales que podemos comprar en cualquier sitio. El principal problema es que esta vulnerabilidad está siendo explotada por la popular botnet Mirai para añadir estos routers a su red de bots y hacer ataques DDoS a diferentes objetivos.
Los routers TP-Link siempre se han caracterizado siempre por ser bastante baratos y proporcionar un rendimiento notable e incluso sobresaliente de manera global, no obstante, de un tiempo a esta parte se están descubriendo vulnerabilidades en sus firmwares bastante graves, que podría provocar que hackeasen completamente el dispositivo y se hagan con su control total. La seguridad en un router que está conectado a Internet es fundamental, porque podrían hacerse con el control total de nuestra conexión, e incluso podrían robarnos información de navegación y mucho más.
¿Qué vulnerabilidad está usando Mirai para infectar?
Unos investigadores de seguridad descubrieron este fallo de seguridad en el evento de hacking en diciembre de 2022, donde dos equipos fueron capaces de vulnerar el router tanto en la red local LAN como también a través de Internet. Esta vulnerabilidad fue comunicada a TP-Link en enero de 2023, y el mes pasado (unos 2 meses después de la comunicación) solucionaron el problema lanzando un nuevo firmware. La vulnerabilidad que fue detectada y ya está arreglada es la CVE-2023-1389. El origen del problema es que el firmware no comprueba bien la entrada en la API local que gestiona la configuración de idioma del router, no valida ni tampoco filtra lo que recibe, por lo que permite a los atacantes remotos inyectar comandos que deberían ejecutarse en el propio dispositivo.
Ahora se ha detectado que la popular botnet Mirai está intentando explotar esta vulnerabilidad en todos los routers TP-Link Archer AX21 alrededor del mundo, empezando por Europa del Este donde ya hay cientos de routers afectados. Este fallo de seguridad CVE-2023-1389 permite inyectar comandos sin autenticación en la API local de la interfaz de administración, por lo tanto, se puede ejecutar cualquier comando y hacerse con el control del dispositivo. La gravedad de esta vulnerabilidad es de 8,8 sobre 10, por lo tanto, es bastante grave. El primer día cuando se detectó este ataque fue el 11 de abril, pero ahora la actividad maliciosa de Mirai se detecta a nivel mundial.
¿Qué ocurre si mi router está infectado y qué hacer?
Si tu router se infecta con el malware de Mirai, tu conexión a Internet se verá afectada debido a que realizará ataques DDoS, ya que para esto se ha construido Mirai, para atacar a otros objetivos. Las primeras investigaciones indican que estos ataques DDoS se enfocan principalmente en servidores de juegos, teniendo la capacidad de lanzar ataques contra Valve Source Engine. Otro aspecto muy importante, es que cuando el router está infectado, es capaz de imitar un tráfico de red legítimo, con el objetivo de dificultar enormemente las medidas de mitigación de DDoS para distinguir entre tráfico malicioso y tráfico legítimo, con el objetivo de rechazar este «tráfico basura» y que el servidor no se vea afectado.
Al tener un elevado tráfico de datos, podrás notar que el router se calentará más de lo normal, también podrías tener desconexiones de Internet, cambios en la configuración de la red e incluso que la contraseña de acceso al router se haya reseteado sin que tú hayas hecho nada.
TP-Link intentó solucionar este problema el 24 de febrero de 2023, pero la solución fue incompleta y no evitó la explotación de la vulnerabilidad. Sin embargo, siguieron trabajando y ahora tenemos la actualización de firmware del 14 de marzo de 2023, con la versión 1.1.4 Build 20230219 que sí soluciona por completo el fallo de seguridad CVE-2023-1389. Si tienes un router TP-Link Archer AX21, es muy importante que actualices la versión del firmware cuanto antes desde la web oficial del fabricante, para que esta vulnerabilidad no te afecte.