# Vulnerabilidades Críticas en Routers TP-Link Archer NX: Detalles y Parches
TP-Link ha lanzado actualizaciones de firmware para los modelos Archer NX200, NX210, NX500 y NX600, que abordan varias vulnerabilidades críticas. La principal —CVE-2025-15517— permitía la carga anónima de firmware arbitrario a través de endpoints CGI sin protección en el servidor HTTP. Esto abría la puerta a un compromiso total del dispositivo sin autenticación.
Las actualizaciones también corrigen problemas con la criptografía de configuración e inyección de comandos, dejando los routers expuestos a ataques de escalada de privilegios. A continuación, un desglose de cada vulnerabilidad con detalles técnicos.
Desglose de CVE-2025-15517: Carga de Firmware No Autorizada
Esta vulnerabilidad provenía de la falta de verificaciones de autenticación en el servidor HTTP del router. Un atacante podía acceder a endpoints CGI específicos que realizan acciones privilegiadas:
- Cambiar la configuración.
- Cargar y aplicar nuevo firmware.
- Control total sobre el dispositivo.
Sin autenticación, cualquier atacante remoto con acceso a la red podía sobrescribir el firmware, inyectando una puerta trasera o código malicioso. La gravedad se confirma con una puntuación CVSS alta: potencial para RCE sin esfuerzo.
El parche en el firmware actualizado introduce verificaciones obligatorias de sesión y token para todos los endpoints sensibles, bloqueando el acceso anónimo.
CVE-2025-15605: Clave Criptográfica Hardcodeada en la Configuración
El mecanismo de configuración usaba una clave criptográfica estática hardcodeada en el código. Un atacante autorizado con acceso a los archivos de configuración podía:
- Descifrar la configuración.
- Analizar o extraer datos sensibles (Wi-Fi passwords, cuentas).
- Realizar cambios.
- Reencriptar el archivo con una clave falsa.
Esto creaba cadenas de ataque: desde intercepción de tráfico hasta acceso persistente. La actualización genera claves dinámicas basadas en métricas de hardware del dispositivo, reforzando la protección contra ingeniería inversa.
Inyecciones de Comandos: CVE-2025-15518 y CVE-2025-15519
Dos vulnerabilidades permitían a administradores de bajos privilegios ejecutar comandos de shell arbitrarios en el router. Vectores posibles:
- CVE-2025-15518: A través de parámetros en la interfaz web, sin escapar de metacaracteres de shell (
;,&&,|). - CVE-2025-15519: En endpoints de API de diagnóstico, donde la entrada no se validaba.
Ejemplo de escenario: ping 127.0.0.1; rm -rf /etc/config —eliminando archivos críticos. Los parches agregan sanitización de entrada, lista blanca de comandos y validación dependiente del contexto.
| Vulnerabilidad | CVSS | Vector de Ataque | Estado del Parche |
|--------------|------|---------------|--------------|
| CVE-2025-15517 | 9.8 | RCE remota | Corregida |
| CVE-2025-15605 | 7.5 | Manipulación de configuración | Corregida |
| CVE-2025-15518 | 8.1 | Inyección de comandos | Corregida |
| CVE-2025-15519 | 8.1 | Inyección de comandos | Corregida |
Recomendaciones de Actualización y Migración
- Descarga el firmware del sitio web de TP-Link para tu modelo (Archer NX200/210/500/600).
- Actualiza a través de la interfaz web o recuperación TFTP si está brickeado.
- Después de actualizar, cambia todas las contraseñas y revisa los logs en busca de actividad sospechosa.
- Usa segregación VLAN para aislar el router de dispositivos IoT.
TP-Link enfatiza: sin el parche, los dispositivos siguen en riesgo, y el fabricante no garantiza protección contra explotación.
Puntos Clave
- CVE-2025-15517 permite RCE sin autenticación: Reemplazo completo de firmware remoto.
- Clave hardcodeada en configuración: Acceso fácil a contraseñas y ajustes.
- Inyección de comandos para admins: Escalada de privilegios vía shell.
- Actualización obligatoria: Parches disponibles; riesgos persisten sin ellos.
- Enfoque medio/senior: Revisa endpoints CGI y cripto en tus proyectos embebidos.
— Editorial Team
Aún no hay comentarios.