25 de octubre de 2024Ravie LakshmananVulnerabilidad/seguridad de Wi-Fi Una falla de seguridad que afecta a Wi-Fi Test Suite podría permitir a atacantes locales no autenticados ejecutar código arbitrario con privilegios elevados. El Centro de Coordinación CERT (CERT/CC) dijo que la vulnerabilidad, rastreada como CVE-2024-41992, dijo que el código susceptible de Wi-Fi Alliance se encontró implementado en los enrutadores Arcadyan FMIMG51AX000J. “Esta falla permite que un atacante local no autenticado explote el Wi-Fi Test Suite enviando paquetes especialmente diseñados, permitiendo la ejecución de comandos arbitrarios con privilegios de root en los enrutadores afectados”, dijo el CERT/CC en un aviso publicado el miércoles. Wi-Fi Test Suite es una plataforma integrada desarrollada por Wi-Fi Alliance que automatiza las pruebas de componentes o dispositivos Wi-Fi. Si bien los componentes de código abierto del kit de herramientas están disponibles públicamente, el paquete completo está disponible sólo para sus miembros. SSD Secure Disclosure, que publicó detalles de la falla en agosto de 2024, la describió como un caso de inyección de comandos que podría permitir a un actor de amenazas ejecutar comandos con privilegios de root. Se informó originalmente a Wi-Fi Alliance en abril de 2024. A un investigador independiente, que utiliza el alias en línea “fj016”, se le atribuye el mérito de descubrir e informar las deficiencias de seguridad. El investigador también puso a disposición un exploit de prueba de concepto (PoC) para la falla. CERT/CC señaló que Wi-Fi Test Suite no está diseñado para su uso en entornos de producción y, sin embargo, se ha descubierto en implementaciones de enrutadores comerciales. “Un atacante que aproveche con éxito esta vulnerabilidad puede obtener control administrativo total sobre el dispositivo afectado”, dijo. “Con este acceso, el atacante puede modificar la configuración del sistema, interrumpir servicios de red críticos o restablecer el dispositivo por completo. Estas acciones pueden provocar interrupciones del servicio, comprometer los datos de la red y una posible pérdida del servicio para todos los usuarios que dependen de la red afectada. ” En ausencia de un parche, se recomienda a los proveedores que han incluido Wi-Fi Test Suite que lo eliminen por completo de los dispositivos de producción o lo actualicen a la versión 9.0 o posterior para mitigar el riesgo de explotación. The Hacker News se ha puesto en contacto con Wi-Fi Alliance para obtener más comentarios y actualizaremos la historia cuando tengamos noticias. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.