Fallos de seguridad en routers TP-Link ponen en jaque a los usuarios

En este artículo nos hacemos eco de una vulnerabilidad que han detectado en routers TP-Link AC1750 y que pone en riesgo la seguridad de los usuarios. Hay que tener en cuenta que el router es una pieza fundamental para nuestras conexiones y un problema de este tipo puede tener una gran peligrosidad de cara a proteger nuestros equipos conectados a la red.

Vulnerabilidades en TP-Link AC1750 afecta a la seguridad

Esta vulnerabilidad afecta al servidor de sincronización que se ejecuta en el router de TP-Link. Permite que un intruso pueda explotarla mediante LAN, sin necesidad de autenticación. El servidor de sincronización no responde a las solicitudes de la red, pero analiza algunos datos escritos en una memoria compartida por tdpServer. Os recomendamos visitar nuestro tutorial para dar de alta AP en TP-Link Omada Controller.

Al enviar datos cuidadosamente seleccionados a tdpServer y los tiempos apropiados, se logra la ejecución de código arbitrario en el servidor de sincronización y el atacante obtiene el control total del router con el nivel más alto de privilegios. Esta vulnerabilidad ha sido registrada como CVE-2021-27246.

Este fallo de seguridad detectaron en la Pwn2Own de Tokio 2020. Los investigadores de seguridad quisieron obtener un Shell y configurar un entorno de depuración. Crearon una serie de pruebas para comprobar cómo podía explotarse esa vulnerabilidad y comprometer la seguridad del router TP-Link.

Entre los servicios escuchando a través de LAN, tdpServer fue analizado y explotado previamente en Pwn2Own. Se puede acceder a este servicio a través del puerto UDP 20002, y utiliza un protocolo propietario llamado TDP. De forma resumida, este servicio maneja múltiples tipos de paquetes TDP y analiza los datos enviados en formato JSON. Dependiendo del tipo y el código de operación, es posible que se requiera cifrado, ya sea con una clave AES codificada o un XOR fijo.

Los investigadores de seguridad comprobaron que ese error de seguridad descubierto el año pasado no fue resuelto correctamente y aún existía la posibilidad de inyectar código y bloquear la respuesta del servidor de sincronización. Los scripts creados por los investigadores de seguridad están disponibles en GitHub para que cualquiera pueda probarlos.

Siempre debemos actualizar el firmware del router

Es muy importante tener en cuenta que debemos actualizar correctamente el firmware del router en todo momento. Son muchas las ocasiones en las que pueden surgir vulnerabilidades como esta que hemos visto y que afecta a un router de TP-Link. Eso sí, en este caso como hemos visto la marca ha tardado un año en corregir adecuadamente ese problema.

Nuestro consejo desde RedesZone es siempre contar con las últimas versiones. Especialmente cuando se trata de dispositivos de red es necesario que tengamos todos los parches disponibles instalados y evitar que esos fallos puedan ser explotados por terceros. El router a fin de cuentas es una pieza muy importante para nuestro día a día y allí conectamos una gran cantidad de dispositivos que podrían llegar a correr peligro.

En definitiva, un nuevo fallo más que pone en riesgo a los usuarios de TP-Link. Hemos visto en otras ocasiones vulnerabilidades similares que han afectado a esta marca, algo que puede comprometer la seguridad y privacidad de los usuarios.