Investigadores revelan una falla devastadora en equipos de red XSpeeder que permite la ejecución remota de código sin autenticación. El proveedor, tras meses de silencio, no ha emitido ninguna solución.
El panorama de la ciberseguridad industrial cierra el año con una advertencia severa. Un nuevo reporte ha sacado a la luz una vulnerabilidad de “Zero day” (0-Day) en el firmware SXZOS, utilizado por el fabricante chino XSpeeder. La falla, que permite a cualquier atacante tomar el control total del dispositivo con una sola solicitud web, pone en riesgo a más de 70,000 dispositivos críticos, incluyendo appliances SD-WAN, routers de borde y controladores de Smart TV.
La vulnerabilidad ha sido catalogada como CVE-2025-54322 y tiene una puntuación de severidad de 9.8/10 (Crítica).
El Descubrimiento: IA cazando Bugs
Un detalle fascinante de este hallazgo es cómo se produjo. Investigadores identificaron la falla utilizando técnicas de análisis de firmware autónomo impulsadas por agentes de Inteligencia Artificial. Esta marca el primer caso divulgado públicamente de una vulnerabilidad 0-Day explotable remotamente descubierta por un agente autónomo.
Anatomía del Ataque
El problema reside en el framework web basado en Django que utiliza el firmware SXZOS.
- El Punto Débil: El endpoint /webInfos/ procesa parámetros de consulta sin validar correctamente la entrada.
- La Falla: El código utiliza la peligrosa función eval() sobre datos decodificados en Base64 proporcionados por el usuario.
- La Explotación: Un atacante puede enviar una solicitud HTTP GET especialmente diseñada, incrustando código Python malicioso en el parámetro chkid.
- Resultado: El código se ejecuta con privilegios de root (administrador total), permitiendo el compromiso completo del dispositivo sin necesidad de contraseñas.
Aunque el sistema tiene algunas defensas (como un header de tiempo sincronizado X-SXZ-R y un filtro de subcadenas básico), los investigadores demostraron que estas barreras operan a nivel de middleware y son triviales de evadir para un atacante motivado.
Silencio del Proveedor y Riesgo Global
Lo más alarmante de la situación es la falta de respuesta. Los investigadores intentaron coordinar la divulgación con XSpeeder durante más de siete meses, sin obtener respuesta alguna. Siguiendo los protocolos de divulgación responsable, la información se ha hecho pública para alertar a los defensores, pero actualmente no existe un parche oficial.
Motores de búsqueda de dispositivos como Fofa muestran más de 70,000 sistemas afectados expuestos directamente a internet, muchos de ellos en entornos industriales y sucursales remotas.
¿Qué hacer ahora?
- Segmentación de Red: Asegúrese de que estos dispositivos no sean accesibles desde la internet pública. Colóquelos detrás de un firewall estricto.
- Restricción de Gestión: Bloquee el acceso a los puertos de gestión web (HTTP/HTTPS) desde cualquier IP que no sea estrictamente interna y de confianza.
- Reemplazo: Considere seriamente migrar a soluciones de red alternativas con soporte de seguridad activo.
