- CVE-2025-7851 se origina a partir de un código de depuración residual en el firmware parcheado
- CVE-2025-7850 WireGuard permite la inyección de comandos a través de la interfaz VPN
- Explotar una vulnerabilidad hace que sea más fácil activar otra con éxito
Dos fallas recientemente reveladas en los enrutadores VPN Omada y Festa de TP-Link han expuesto vulnerabilidades profundamente arraigadas en la seguridad del firmware de la compañía.
Las vulnerabilidades, rastreadas como CVE-2025-7850 y CVE-2025-7851, fueron identificadas por investigadores de Vedere Labs de Forescout.
Estas vulnerabilidades se describieron como parte de un patrón recurrente de parches incompletos y código de depuración residual.
Acceso root restaurado mediante código residual
Un problema previamente conocido, CVE-2024-21827, permite a los atacantes utilizar una función de “código de depuración sobrante” para obtener acceso raíz a los enrutadores TP-Link.
Aunque TP-Link ha solucionado esta vulnerabilidad, la actualización deja restos del mismo mecanismo de depuración accesibles bajo ciertas condiciones.
Si se crea un archivo de sistema específico, image_type_debug, en el dispositivo, reaparece el antiguo comportamiento de inicio de sesión de root.
Este descubrimiento formó la base de la nueva vulnerabilidad CVE-2025-7851.
Luego, la investigación descubrió una segunda falla, CVE-2025-7850, que afectaba la interfaz de configuración WireGuard VPN del enrutador.
La desinfección inadecuada de un campo de clave privada permite a un usuario autenticado inyectar comandos del sistema operativo, lo que resulta en una ejecución remota completa de código como usuario raíz.
En la práctica, explotar una vulnerabilidad facilita la activación de otra, creando una ruta combinada para completar el control del dispositivo.
Esto revela cómo las soluciones rutinarias a veces pueden introducir nuevas rutas de ataque en lugar de eliminar las existentes.
El equipo de investigación advierte que CVE-2025-7850, en algunas configuraciones, puede explotarse de forma remota sin autenticación.
Potencialmente, esto puede convertir una configuración de VPN en un punto de entrada inesperado para los atacantes.
Utilizando el acceso root, los investigadores pudieron realizar pruebas más exhaustivas del firmware de TP-Link.
Encontraron 15 fallas adicionales en otras familias de dispositivos TP-Link, que ahora se encuentran en versión consolidada y se espera que sean reparadas a principios de 2026.
Forescout recomienda que los usuarios apliquen actualizaciones de firmware a medida que TP-Link las publique, deshabiliten el acceso remoto innecesario y supervisen los registros de red en busca de signos de explotación.
Si bien el trabajo proporciona información valiosa sobre la investigación de la vulnerabilidad de los enrutadores, también revela un patrón inquietante.
Vulnerabilidades de “enraizamiento” similares persisten en múltiples marcas de redes, exponiendo fallas de codificación sistémicas que los parches rápidos rara vez solucionan.
Hasta que los proveedores aborden a fondo las causas fundamentales, incluso los dispositivos parcheados pueden ocultar fallas antiguas bajo firmware más nuevo, dejando un enrutador seguro vulnerable a la explotación.
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
