Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Vulnerabilidades críticas en D-Link DIR-878: riesgo para miles de usuarios
Noticias

Vulnerabilidades críticas en D-Link DIR-878: riesgo para miles de usuarios

por Dragora
Escrito por Dragora

El fabricante de equipos de red D-Link ha emitido una advertencia de seguridad sobre cuatro vulnerabilidades críticas que afectan a todas las versiones y revisiones de hardware de su popular router DIR-878, un dispositivo que, aunque llegó al final de su vida útil (EoL) en 2021, sigue estando disponible en muchos mercados y aún se utiliza en miles de hogares y pequeñas oficinas.

Estas fallas permiten desde ejecución remota de comandos sin autenticación hasta la toma completa del control del dispositivo, convirtiéndolo en un objetivo atractivo para cibercriminales, especialmente operadores de botnets.

El problema se agrava porque D-Link no lanzará parches de seguridad, al tratarse de un producto oficialmente descontinuado.

Un router obsoleto, pero aún muy presente en redes domésticas

El D-Link DIR-878 fue lanzado en 2017 como un router inalámbrico de doble banda de alto rendimiento, diseñado para hogares y pequeñas oficinas (SOHO). Su buena relación precio-rendimiento lo convirtió en un dispositivo ampliamente adoptado.

Actualmente, pese a haber sido descatalogado en 2021, todavía puede encontrarse:

  • En tiendas online

  • En mercados de segunda mano

  • Como stock antiguo en distribuidores

Con precios que oscilan entre 75 y 122 dólares, lo que facilita que usuarios poco informados sigan adquiriéndolo sin conocer los riesgos de seguridad.

El problema: ya no recibe ningún tipo de soporte técnico o actualizaciones de seguridad.

Vulnerabilidades detectadas: ejecución remota y control total

La investigación fue realizada por el investigador de seguridad conocido como Yangyifan, quien publicó los detalles técnicos junto con código de prueba de concepto (PoC) funcional.

D-Link confirmó oficialmente cuatro vulnerabilidades, tres de ellas explotables de forma remota sin autenticación.

D-Link advierte sobre nuevos fallos RCE en routers DIR-878 al final de su vida útil

1. CVE-2025-60672 – Ejecución remota vía Dynamic DNS

Esta falla permite a un atacante ejecutar comandos en el sistema sin necesidad de autenticación, abusando de los parámetros enviados a la función SetDynamicDNSSettings.

El problema se produce porque:

  • Los valores se almacenan en la NVRAM.

  • Posteriormente se utilizan directamente en comandos del sistema.

  • No existe una correcta validación ni sanitización de la entrada.

Resultado: un atacante remoto puede ejecutar comandos arbitrarios en el router.

2. CVE-2025-60673 – Inyección de comandos vía DMZ

En este caso, la vulnerabilidad se encuentra en el parámetro IPAddress utilizado dentro de SetDMZSettings.

Debido a una validación deficiente, el valor puede ser manipulado e inyectado directamente en comandos del tipo iptables, permitiendo:

  • Ejecución arbitraria de comandos.

  • Alteración de reglas de firewall.

  • Inserción de puertas traseras.

Todo esto sin necesidad de credenciales válidas.

3. CVE-2025-60674 – Desbordamiento de pila vía USB

Esta vulnerabilidad requiere acceso físico o control sobre un dispositivo USB conectado al router.

Se produce por un desbordamiento de pila relacionado con un campo llamado “Número de Serie” en dispositivos USB, que puede ser manipulado para:

  • Provocar un fallo en el sistema.

  • Ejecutar código arbitrario.

  • Comprometer completamente el dispositivo.

Aunque su vector es físico, sigue siendo crítico en entornos empresariales pequeños.

4. CVE-2025-60676 – Ejecución de comandos vía reglas QoS

Esta vulnerabilidad se encuentra en el manejo del archivo /tmp/new_qos.rule, cuyos campos no están correctamente sanitizados.

Los valores son procesados por binarios internos que utilizan la función system(), permitiendo a un atacante:

  • Inyectar comandos maliciosos.

  • Escalar privilegios.

  • Controlar el dispositivo de forma remota.

CISA minimiza el impacto… pero los atacantes no lo harán

La Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) ha clasificado estas vulnerabilidades con un nivel de gravedad “media”.

Sin embargo, en la práctica, este tipo de fallos son altamente atractivos para:

  • Operadores de botnets

  • Grupos dedicados a DDoS

  • Redes de malware IoT

  • Campañas de espionaje digital

¿Por qué?
Porque los routers domésticos suelen estar mal protegidos y actúan como puntos de acceso privilegiados a la red completa del usuario.

Riesgo real: incorporación a botnets masivas

Los routers vulnerables suelen terminar integrados en redes de bots.

Un ejemplo reciente es RondoDox, una botnet a gran escala que explota más de 56 vulnerabilidades conocidas, varias de ellas en dispositivos D-Link, y que sigue ampliando activamente su arsenal.

A esto se suma la botnet Aisuru, reportada recientemente por BleepingComputer, que:

  • Lanzó un ataque DDoS masivo contra Microsoft Azure

  • Alcanzó picos de 15,72 Tbps

  • Utilizó más de 500.000 direcciones IP comprometidas

Muchos de estos nodos eran dispositivos IoT y routers domésticos vulnerables.

Esto demuestra cómo fallas como las del DIR-878 no son solo un riesgo individual, sino un problema de seguridad global.

¿Qué deben hacer los usuarios afectados?

D-Link ha sido claro: no habrá parches de seguridad para el DIR-878.

Por tanto, la única solución real es:

✅ Reemplazar el router por un modelo con soporte activo
✅ Elegir dispositivos con actualizaciones regulares de firmware
✅ Priorizar equipos con historial de soporte prolongado

Si por algún motivo no puedes reemplazarlo de inmediato, estas medidas pueden reducir parcialmente el riesgo:

  • Deshabilitar el acceso remoto desde Internet

  • Cambiar contraseñas por defecto

  • Desactivar servicios como DMZ y UPnP

  • Monitorizar el tráfico saliente

  • Bloquear puertos innecesarios

Sin embargo, estas son medidas temporales, no una solución definitiva.

Un recordatorio crítico para el ecosistema de ciberseguridad

El caso del D-Link DIR-878 evidencia un problema recurrente en el ecosistema IoT:

Millones de dispositivos obsoletos siguen conectados a Internet, convirtiéndose en armas digitales en manos de las botnets.

Las vulnerabilidades en hardware sin soporte se convierten en puertas abiertas permanentes que son explotadas durante años.

Esto no solo afecta a los hogares, sino a pequeñas empresas, proveedores de servicios y redes enteras.

En fin…

Las vulnerabilidades CVE-2025-60672, CVE-2025-60673, CVE-2025-60674 y CVE-2025-60676 en el D-Link DIR-878 representan un riesgo real y explotable para miles de usuarios a nivel mundial.

Sin soporte oficial ni parches futuros, el dispositivo se ha convertido en un objetivo perfecto para campañas de malware, botnets y ataques DDoS.

En ciberseguridad, mantener hardware obsoleto ya no es solo una mala práctica: es una vulnerabilidad activa.

Fuente: Bleeping Computer

0 Comentar
0
FacebookTwitterPinterestLinkedinEmail

You may also like

Redis corrige fallo crítico RCE descubierto por IA

HTTP/2 Bomb amenaza NGINX, Apache e IIS

Cisco corrige fallo crítico CVSS 10 en Secure...

Europa y EE. UU. desmantelan VPN usada por...

Microsoft corregirá fallo de contraseñas en Edge

Microsoft confirma ataques contra Exchange Server

Malware detectado en versiones npm de node-ipc

Cisco corrige fallo crítico SD-WAN explotado activamente

Microsoft corrige error de Office en Windows 365

Google descubre exploit zero-day creado con IA

Dejar Comentario

Guardar mi nombre y email para el próximo comentario

Click to listen highlighted text!