Aviso sobre amenazas de ciberseguridad:

Aviso sobre amenazas de ciberseguridad:

Dispositivos TP-link y Zyxel en la mira.

Dos vulnerabilidades son blanco activo de ataques: CVE-2023-33538, afecta a los routers TP-Link, y CVE-2023-28771, que afecta a los firewalls Zyxel.

¿Cuál es la amenaza?

La vulnerabilidad CVE-2023-33538 afecta a varios modelos antiguos de routers TP-Link, como los TL-WR940N, TL-WR841N y TL-WR740N. Se trata de una falla de inyección de comandos que permite a los atacantes ejecutar comandos del sistema no autorizados mediante el envió de solicitudes web especialmente diseñadas. Dato que estos routers se encuentran al final de su vida útil, TP-Link ya no publica parches de seguridad para ellos, lo que los convierte en objetivos permanentes si aún se utilizan.

CVE-2023-28771 es una vulnerabilidad crítica de ejecución remota de código (RCE) en los firewalls Zyxel. Los atacantes pueden explotarla sin credenciales de inicio de sesión y tomar el control del dispositivo. GreyNoise ha rastreado recientemente intentos generalizados de explotación desde cientos de direcciones IP, lo que demuestra que los atacantes están atacando activamente esta vulnerabilidad nuevamente.

¿Por qué es digno de mención?

Estas vulnerabilidades son explotadas activamente por atacantes en la naturaleza. La falla de TP-Link es especialmente peligrosa porque afecta a dispositivos sin soporte que no recibirán actualizaciones ni parches. Los atacantes han utilizado la vulnerabilidad de Zyxel en ataques de botnets anteriores y ahora la están recuperando, reciclando y automatizando exploits antiguos.

¿Cuál es la exposición o riesgo?

Los modelos TP-Link afectados dejan a organizaciones o personas muy expuestas. Sin parches disponibles, los atacantes pueden comprometer estos routers, usarlos para lanzar nuevos ataques, interceptar datos o infiltrarse en la red interna.

Los atacantes pueden controlar remotamente los firewalls de Zyxel que no se han actualizado. Su explotación podría provocar interrupciones del servicio, robo de datos o la inclusión en una botnet DDoS. La actividad de escaneo a gran escala sugiere que esta amenaza es continua y generalizada, y que ataca dispositivos a nivel mundial, especialmente en EU, Reino Unido, España, Alemania e India.

Se recomienda realizar algunas de las siguientes acciones para mitigar el impacto:

Se le recomienda a las organizaciones tomen estas medidas para reducir el riesgo de explotación y proteger su infraestructura:

  • Reemplace los enrutadores TP-Link (TL-WRR940N, TL-WR841N, TL-WR740N) inmediatamente, ya que TP-Link no emitirá actualizaciones de seguridad para estos modelos.
  • Interrumpir el uso de dispositivos al final de su vida útil (EOL) en funciones de producción o conectadas a internet.
  • Actualice los firewalls Zyxel a la última versión de firmware que aborda CVE-2023-28771.
  • Restrinja el acceso remoto a todos los dispositivos de red, especialmente a las interfaces de administración.
  • Supervise el tráfico de red de forma proactiva con soluciones como XDR para identificar actividad sospechosa, especialmente salientes a direcciones IP desconocidas.
  • Revisar y hacer cumplir la segmentación de los sistemas críticos para limitar la exposición en caso de que se vulnere un dispositivo de red.

Acércate a nosotros para brindarte más información de nuestro programa de canales:

JR