Especialistas en ciberseguridad han reportado el hallazgo de dos vulnerabilidades críticas en el extensor de señal WiFi TL-WPA4220, desarrollado por TP-Link. Acorde al reporte, las fallas permiten la ejecución de comandos arbitrarios y el despliegue de ataques de denegación de servicio.
A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes según el Common Vulnerability Scoring System (CVSS).
CVE-2020-24297: Las validaciones de entrada incorrectas permitirían a los actores de amenazas remotos enviar una solicitud POST especialmente diseñada al endpoint/admin/powerline y ejecutar comandos arbitrarios en el sistema operativo objetivo.
Esta es una falla de seguridad media que recibió un puntaje de 7.7/10 en la escala CVSS y su explotación exitosa podría resultar en el compromiso completo del sistema vulnerable.
CVE-2020-28005: Esta falla existe debido a un error de límite en http que permitiría a los actores de amenazas remotos enviar solicitudes POST especialmente diseñadas al endpoint /admin/syslog, desencadenando un desbordamiento del búfer basado en pila y generar una condición de denegación de servicio (DoS).
La falla recibió un puntaje CVSS de 5.7/10 y su explotación exitosa podría causar serias consecuencias en los sistemas comprometidos.
Las fallas pueden ser explotadas por actores de amenazas remotos no autenticados mediante el envío de solicitudes especialmente diseñadas a los dispositivos afectados, no obstante, los especialistas aún no han detectado intentos de explotación activa o la existencia de una variante de malware asociada a este ataque.
Las actualizaciones ya están disponibles para todas las versiones de TL-WPA4220 anteriores a v4_201023, por lo que se recomienda a los usuarios de instalaciones afectadas actualizar a la brevedad.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.