Aviso de seguridad
Nivel de peligrosidad: Alto
Descripción
Un atacante puede enviar un GET elaborado al endpoint /userRpm/WlanNetworkRpm, inyectar código del sistema operativo y ejecutarlo en el router. Este fallo permite controlar el tráfico, lanzar ataques DDoS o pivotar dentro de la red.
Recursos afectados
- Routers TP-Link: TL-WR940N (v2 y v4), TL-WR841N (v8, v10) y TL-WR740N (v1, v2).
- Firmware de esos modelos que incluya el componente afectado.
Solución
- TP-Link no ofrece actualizaciones oficiales (modelos EoL/EoS), por lo que se recomienda descontinuar su uso.
- Si existe parche disponible vía sitio de soporte TP-Link, aplícalo inmediatamente.
Recomendaciones
- Retirar los routers vulnerables y reemplazarlos por modelos soportados.
- De no ser posible, desactivar acceso remoto (WAN-side), cambiar credenciales por unas robustas y segmentar la red vía VLAN o firewall.
- Monitorear tráfico anómalo hacia el endpoint /userRpm/WlanNetworkRpm.
- Cumplir con la guía BOD 22-01 de CISA para vulnerabilidades explotadas conocidas.
Referencias