Volver al inicio

Vulnerabilidades de TP-Link Archer NX: CVE-2025-15517 y Parches

TP-Link Solucionó Vulnerabilidades Críticas en Routers Archer NX, Incluyendo CVE-2025-15517 con RCE sin Autenticación. Parches Corregidos Claves Criptográficas Hardcodeadas e Inyecciones de Comandos. Recomendaciones de Actualización para Minimizar Riesgos.

Errores Críticos en TP-Link Archer NX: RCE e Inyecciones
Advertisement 728x90

# Vulnerabilidades Críticas en Routers TP-Link Archer NX: Detalles y Parches

TP-Link ha lanzado actualizaciones de firmware para los modelos Archer NX200, NX210, NX500 y NX600, que abordan varias vulnerabilidades críticas. La principal —CVE-2025-15517— permitía la carga anónima de firmware arbitrario a través de endpoints CGI sin protección en el servidor HTTP. Esto abría la puerta a un compromiso total del dispositivo sin autenticación.

Las actualizaciones también corrigen problemas con la criptografía de configuración e inyección de comandos, dejando los routers expuestos a ataques de escalada de privilegios. A continuación, un desglose de cada vulnerabilidad con detalles técnicos.

Desglose de CVE-2025-15517: Carga de Firmware No Autorizada

Esta vulnerabilidad provenía de la falta de verificaciones de autenticación en el servidor HTTP del router. Un atacante podía acceder a endpoints CGI específicos que realizan acciones privilegiadas:

Google AdInline article slot
  • Cambiar la configuración.
  • Cargar y aplicar nuevo firmware.
  • Control total sobre el dispositivo.

Sin autenticación, cualquier atacante remoto con acceso a la red podía sobrescribir el firmware, inyectando una puerta trasera o código malicioso. La gravedad se confirma con una puntuación CVSS alta: potencial para RCE sin esfuerzo.

El parche en el firmware actualizado introduce verificaciones obligatorias de sesión y token para todos los endpoints sensibles, bloqueando el acceso anónimo.

CVE-2025-15605: Clave Criptográfica Hardcodeada en la Configuración

El mecanismo de configuración usaba una clave criptográfica estática hardcodeada en el código. Un atacante autorizado con acceso a los archivos de configuración podía:

Google AdInline article slot
  • Descifrar la configuración.
  • Analizar o extraer datos sensibles (Wi-Fi passwords, cuentas).
  • Realizar cambios.
  • Reencriptar el archivo con una clave falsa.

Esto creaba cadenas de ataque: desde intercepción de tráfico hasta acceso persistente. La actualización genera claves dinámicas basadas en métricas de hardware del dispositivo, reforzando la protección contra ingeniería inversa.

Inyecciones de Comandos: CVE-2025-15518 y CVE-2025-15519

Dos vulnerabilidades permitían a administradores de bajos privilegios ejecutar comandos de shell arbitrarios en el router. Vectores posibles:

  • CVE-2025-15518: A través de parámetros en la interfaz web, sin escapar de metacaracteres de shell (;, &&, |).
  • CVE-2025-15519: En endpoints de API de diagnóstico, donde la entrada no se validaba.

Ejemplo de escenario: ping 127.0.0.1; rm -rf /etc/config —eliminando archivos críticos. Los parches agregan sanitización de entrada, lista blanca de comandos y validación dependiente del contexto.

Google AdInline article slot

| Vulnerabilidad | CVSS | Vector de Ataque | Estado del Parche |

|--------------|------|---------------|--------------|

| CVE-2025-15517 | 9.8 | RCE remota | Corregida |

| CVE-2025-15605 | 7.5 | Manipulación de configuración | Corregida |

| CVE-2025-15518 | 8.1 | Inyección de comandos | Corregida |

| CVE-2025-15519 | 8.1 | Inyección de comandos | Corregida |

Recomendaciones de Actualización y Migración

  • Descarga el firmware del sitio web de TP-Link para tu modelo (Archer NX200/210/500/600).
  • Actualiza a través de la interfaz web o recuperación TFTP si está brickeado.
  • Después de actualizar, cambia todas las contraseñas y revisa los logs en busca de actividad sospechosa.
  • Usa segregación VLAN para aislar el router de dispositivos IoT.

TP-Link enfatiza: sin el parche, los dispositivos siguen en riesgo, y el fabricante no garantiza protección contra explotación.

Puntos Clave

  • CVE-2025-15517 permite RCE sin autenticación: Reemplazo completo de firmware remoto.
  • Clave hardcodeada en configuración: Acceso fácil a contraseñas y ajustes.
  • Inyección de comandos para admins: Escalada de privilegios vía shell.
  • Actualización obligatoria: Parches disponibles; riesgos persisten sin ellos.
  • Enfoque medio/senior: Revisa endpoints CGI y cripto en tus proyectos embebidos.

— Editorial Team

Advertisement 728x90

Leer después