TP-Link corrige vulnerabilidades críticas en videograbadores VIGI

TP-Link corrige dos vulnerabilidades críticas en videograbadores VIGI que permiten ejecutar comandos remotos

Tiempo estimado de lectura: 5 minutos | Dificultad técnica: Alta

Conclusiones clave

• TP-Link ha abordado dos vulnerabilidades críticas en videograbadores VIGI que permiten la ejecución de comandos remotos.
• Las vulnerabilidades registradas como CVE-2025-7723 y CVE-2025-7724 tienen un alto impacto y afectan a múltiples modelos.
• Se recomienda actualizar los firmware para mitigar los riesgos de seguridad.
• Un acceso remoto no autenticado puede comprometer la integridad de grabaciones y la configuración de red.
• Las acciones de remediación incluyen la revocación de credenciales tras la actualización y el monitoreo activo del sistema.

Índice

1. Detalles de las vulnerabilidades
2. Modelos afectados y parches disponibles
3. Impacto potencial
4. Recomendaciones de seguridad
5. Fuentes adicionales

Detalles de las vulnerabilidades

Las fallas identificadas son:

• CVE-2025-7723
  • Tipo: Inyección de comandos
  • Requisitos: Usuario autenticado
  • Resultado: Ejecución de órdenes del sistema operativo con privilegios de root.
• CVE-2025-7724
  • Tipo: Inyección de comandos
  • Requisitos: Sin credenciales
  • Resultado: Compromiso total del NVR desde la red local.

Ambos problemas surgen de una validación inadecuada de parámetros en las solicitudes CGI generadas en el panel de administración. Un atacante puede atacar a través de /cgi-bin/system_mgr.cgi?cmd=… y encadenar comandos utilizando ;, lo que resulta en el control completo del sistema operativo subyacente.

Modelos afectados y parches disponibles

Los detalles sobre las versiones de firmware susceptibles y los parches son los siguientes:

• VIGI NVR1104H-4P V1
  • Firmware vulnerable: < 1.1.5 Build 250518
  • Firmware seguro: 1.1.5 Build 250518
• VIGI NVR2016H-16MP V2
  • Firmware vulnerable: < 1.3.1 Build 250407
  • Firmware seguro: 1.3.1 Build 250407

TP-Link lanzó las actualizaciones de seguridad el 22 de julio de 2025 y advierte que cualquier dispositivo que no sea actualizado quedará completamente expuesto.

Impacto potencial

El acceso remoto no autenticado (CVE-2025-7724) permite a los atacantes manipular, borrar o exportar grabaciones de video. Asimismo, un NVR comprometido puede utilizarse como plataforma para escanear y atacar otros dispositivos dentro de la red local. Esto incluye el secuestro de cámaras IP y la alteración de configuraciones de vigilancia, así como la ejecución de malware (como botnets IoT) o el uso de la capacidad del procesador para actividades de criptominería.

Recomendaciones de seguridad

Se sugieren las siguientes acciones:

1. Actualizar de inmediato a las versiones de firmware recomendadas desde la página oficial de soporte.
2. Luego de aplicar el parche, es crucial revocar credenciales y reiniciar todas las sesiones activas.
3. Limitar el acceso al puerto de administración utilizando listas de control de IP o VPN.
4. Desactivar los servicios externos no necesarios (como UPnP, FTP, Telnet) y establecer contraseñas robustas y únicas.
5. Monitorear los registros del NVR para detectar comandos sospechosos y activar alertas de integridad de firmware.

Fuentes adicionales

• CyberSecurityNews – Vulnerabilidad en el grabador de video de TP-Link permite a atacantes ejecutar comandos arbitrarios.
• TP-Link – Advisory de seguridad CVE-2025-7723 / 7724 (22 jul 2025).
• NVD – CVE-2025-7724: Inyección de comandos de sistema operativo no autenticada en VIGI NVR.
• Incibe – CVE-2025-7723.