Un gran número de usuarios de TP-Link sigue estando en riesgo de ataques informáticos debido a una antigua vulnerabilidad de inyección de comandos, a pesar de que el fabricante lanzó una actualización de seguridad hace un año. Las empresas de seguridad han observado recientemente un aumento de actividad maliciosa que aprovecha la vulnerabilidad conocida como CVE-2023-1389 en los routers TP-Link Archer AX21 (AX1800).
La vulnerabilidad, reportada a TP-Link en enero de 2023, permite a un usuario remoto no autenticado inyectar comandos arbitrarios a través de la interfaz web de gestión del router. Después de la divulgación y la corrección por parte del fabricante, realizada en marzo de 2023, el código de explotación de prueba de concepto se hizo disponible, atrayendo la atención de múltiples operaciones de malware botnet con la esperanza de llevar a cabo ataques a gran escala.
Aumento de ataques en un modelo de router TP-Link
Según los datos de telemetría de Fortinet, a partir de marzo de 2024, los intentos diarios de infección que explotan CVE-2023-1389 han superado frecuentemente los 40 mil, llegando a más de 50 mil. Al menos seis botnets distintas, incluidas variantes de Mirai, Moobot, AGoent, Gafgyt, Miori y Condi, están apuntando activamente a los dispositivos que aún son vulnerables.
Estas botnets utilizan diferentes métodos para aprovechar la vulnerabilidad, tomar control de los dispositivos comprometidos y utilizarlos para actividades maliciosas como ataques DDoS (Denegación de Servicio Distribuido). Algunas descargan y ejecutan scripts para recuperar y ejecutar archivos ELF desde servidores remotos, mientras que otras intentan forzar las credenciales de administrador utilizando listas de contraseñas en ataques de fuerza bruta.
Fortinet destaca que, a pesar de la liberación de la actualización de seguridad por parte de TP-Link en marzo de 2023, un gran número de usuarios sigue utilizando firmware obsoletos, dejando sus dispositivos vulnerables a los ataques.
Por lo tanto, se insta a los usuarios del router TP-Link Archer AX21 (AX1800) a seguir inmediatamente las instrucciones del fabricante para actualizar el firmware, disponibles en el sitio web de TP-Link, cambiar las contraseñas de administrador predeterminadas y, si no es necesario, deshabilitar el acceso web al panel de administración.
