Unit 42 confirmó que aunque los intentos de explotación observados fallan por errores de código, la vulnerabilidad de inyección de comandos es real y explotable con credenciales por defecto.
Investigadores de Unit 42 de Palo Alto Networks confirmaron este mes que routers WiFi TP-Link discontinuados están siendo objetivo de una campaña de escaneo automatizado que intenta explotar CVE-2023-33538, una vulnerabilidad de inyección de comandos con CVSS 8.8. La actividad, detectada tras la incorporación del CVE al catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA en junio de 2025, involucra payloads asociados a variantes del botnet Mirai.
La vulnerabilidad reside en el endpoint /userRpm/WlanNetworkRpm de varios modelos de routers TP-Link: TL-WR940N versiones 2 y 4, TL-WR740N versiones 1 y 2, y TL-WR841N versiones 8 y 10. El fallo consiste en la falta de saneamiento del parámetro ssid1 procesado mediante solicitudes HTTP GET, lo que permite inyectar comandos arbitrarios en el sistema del router. Según el reporte técnico de Unit 42, la explotación exitosa requiere autenticación previa en la interfaz web del dispositivo, un factor que reduce pero no elimina el riesgo dado el uso generalizado de credenciales por defecto como admin:admin en entornos domésticos y PYMEs de América Latina.
El análisis de telemetría mostró solicitudes HTTP GET hacia el endpoint vulnerable que intentan descargar y ejecutar un binario ELF denominado arm7 desde la dirección IP 51.38.137[.]113. El malware, identificado como una variante de Mirai similar al botnet Condi, establece conexión con un servidor de comando y control (C2) y espera secuencias de bytes específicas para ejecutar acciones como respuestas de heartbeat, bloqueo del dispositivo o reporte de estado. El código del binario contiene múltiples referencias a la cadena "condi", confirmando su linaje con esa amenaza IoT previamente documentada.
Un hallazgo crítico del investigación es que los actores detrás de esta campaña operan con código de explotación defectuoso. Los intentos observados carecen de autenticación adecuada, apuntan a parámetros incorrectos y dependen de utilidades no disponibles en el entorno BusyBox de los routers vulnerables. Sin embargo, el equipo de Unit 42 emuló el firmware del TL-WR940N y confirmó que la vulnerabilidad es plenamente explotable cuando se cumplen las condiciones correctas, lo que significa que actores más sofisticados podrían desarrollar exploits funcionales en cualquier momento.
TP-Link ha declarado que no liberará parches para los modelos afectados por su estatus de end-of-life. La recomendación oficial es reemplazar los dispositivos con hardware soportado y evitar el uso de credenciales por defecto. Para organizaciones en LATAM donde estos routers permanecen ampliamente desplegados en redes de sucursales y entornos residenciales, la ventana de riesgo permanece abierta mientras el hardware no sea retirado. Las protecciones de Palo Alto Networks incluyen Advanced URL Filtering, Advanced DNS Security y Cortex Xpanse Device Security, según detalla el registro CVE oficial.
FUENTE ORIGINAL
Unit 42 - Palo Alto Networks↗CURADO POR
Alejandro Vargas