El Centre de Coordinació CERT (CERT/CC) ha revelat detalls d’una fallada de seguretat sense pedaços que afecta l’extensor de cobertura sense fil TOTOLINK EX200 i que podria permetre que un atacant remot autenticat obtingui el control total del dispositiu.

La fallada, CVE-2025-65606 (puntuació CVSS: N/D), s’ha caracteritzat com una falla en la lògica de gestió d’errors de càrrega de microprogramari, que podria fer que el dispositiu iniciés accidentalment un servei telnet de nivell root no autenticat. CERT/CC va agrair a Leandro Kogan el descobriment i la denúncia del problema.

CERT/CC ha informat que «Un atacant autenticat pot desencadenar una condició d’error en el gestor de càrrega de microprogramari que fa que el dispositiu iniciï un servei telnet root no autenticat, i atorgui accés complet al sistema».

L’explotació amb èxit de la fallada requereix que un atacant ja estigui autenticat a la interfície de gestió web per accedir a la funcionalitat de càrrega de microprogramari.

El CERT/CC va dir que el gestor de càrrega de microprogramari entra en un «estat d’error anormal» quan es processen certs fitxers de microprogramari mal formats, cosa que fa que el dispositiu iniciï un servei telnet amb privilegis de root i sense requerir cap autenticació.

Aquesta interfície d’administració remota no intencionada podria ser explotada per l’atacant per segrestar dispositius vulnerables, cosa que podria provocar la manipulació de la configuració, l’execució arbitrària d’ordres o la persistència.

Segons CERT/CC, TOTOLINK no ha publicat cap pegat per solucionar la fallada i es diu que el producte ja no es manté activament. La pàgina web de TOTOLINK per a l’EX200 mostra que el microprogramari del producte va fer la darrera actualització el febrer de 2023.

Si no hi ha cap solució, es recomana als usuaris de l’aplicació que restringeixin l’accés administratiu a xarxes de confiança, impedeixin que usuaris no autoritzats accedeixin a la interfície de gestió, controlin l’activitat anòmala i actualitzin a un model compatible.