- CVE-2025-7851 proviene del código de depuración residual que queda en el firmware parcheado
- CVE-2025-7850 permite la inyección de comandos a través de la interfaz VPN WireGuard
- Explotar una vulnerabilidad hizo que la otra fuera más fácil de activar con éxito
Dos fallas recientemente reveladas en Omada y Festa de TP-Link Enrutadores VPN han expuesto debilidades profundamente arraigadas en la seguridad del firmware de la empresa.
Las vulnerabilidades, rastreadas como CVE-2025-7850 y CVE-2025-7851, fueron identificadas por investigadores de Laboratorios See de Forescout.
Estas vulnerabilidades se describieron como parte de un patrón recurrente de parches incompletos y código de depuración residual.
Acceso root revivido gracias al código sobrante
Un problema previamente conocido, CVE-2024-21827, permitió a los atacantes explotar una función de “código de depuración sobrante” para obtener acceso raíz en los enrutadores TP-Link.
Aunque TP-Link parchó esta vulnerabilidad, la actualización dejó restos del mismo mecanismo de depuración accesibles en condiciones específicas.
Si se creaba un determinado archivo de sistema, image_type_debug, en el dispositivo, reaparecía el antiguo comportamiento de inicio de sesión de root.
Este descubrimiento formó la base de la nueva vulnerabilidad CVE-2025-7851.
Luego, la investigación descubrió una segunda falla, CVE-2025-7850, que afectaba la interfaz de configuración WireGuard VPN de los enrutadores.
La desinfección inadecuada de un campo de clave privada permitió a un usuario autenticado inyectar Sistema operativo comandos, lo que resulta en la ejecución remota completa del código como usuario root.
En la práctica, explotar una vulnerabilidad hizo que la otra fuera más fácil de activar, creando una ruta combinada para completar el control del dispositivo.
Esto revela cómo las correcciones de rutina a veces pueden introducir nuevas rutas de ataque en lugar de eliminar las existentes.
El equipo de investigación advierte que CVE-2025-7850 podría, en algunas configuraciones, explotarse de forma remota sin autenticación.
Esto potencialmente puede convertir un vpn configuración en un punto de entrada inesperado para los atacantes.
Al utilizar el acceso raíz, los investigadores pudieron realizar un examen más completo del firmware de TP-Link.
Descubrieron 15 fallas adicionales en otras familias de dispositivos TP-Link, que ahora están bajo divulgación coordinada y se espera que sean reparadas a principios de 2026.
Forescout recomienda que los usuarios apliquen actualizaciones de firmware inmediatamente una vez que TP-Link las publique, deshabiliten el acceso remoto innecesario y supervisen los registros de red en busca de signos de explotación.
Aunque el trabajo proporciona información valiosa sobre la investigación de la vulnerabilidad de los enrutadores, también revela un patrón preocupante.
Debilidades de “raíz” similares continúan apareciendo en múltiples marcas de redes, revelando fallas de codificación sistémicas que los parches rápidos rara vez solucionan.
Hasta que los proveedores aborden a fondo las causas fundamentales, incluso los dispositivos parcheados pueden ocultar fallos antiguos bajo el nuevo firmware, dejando un enrutador seguro vulnerable a la explotación.
Siga TechRadar en Google News y agréganos como fuente preferida para recibir noticias, reseñas y opiniones de nuestros expertos en sus feeds. ¡Asegúrate de hacer clic en el botón Seguir!
Y por supuesto también puedes Siga TechRadar en TikTok para noticias, reseñas, unboxings en forma de video y reciba actualizaciones periódicas de nuestra parte en WhatsApp también.
