DrayTek ha publicado un aviso de seguridad sobre CVE-2025-10547, una vulnerabilidad crítica que afecta a varios modelos de routers Vigor. El fallo posibilita que un atacante remoto y no autenticado ejecute código arbitrario enviando solicitudes HTTP(S) especialmente manipuladas al panel web de administración, lo que eleva significativamente el riesgo para redes empresariales y pymes que exponen estos servicios.
Detalles técnicos de CVE-2025-10547 y severidad del fallo
Según el boletín de DrayTek, la explotación exitosa deriva en corrupción de memoria con potencial de ejecución remota de código (RCE). La raíz del problema, identificada por el investigador Pierre-Yves Maes (ChapsVision), se asocia a un valor no inicializado en la pila que conduce a un escenario de arbitrary free (liberación de memoria fuera de control) a través de free(). Este patrón es un vector clásico para escalar a RCE al permitir un control fino sobre la memoria del proceso.
El investigador ha confirmado la viabilidad práctica del ataque mediante un proof-of-concept (PoC) ejecutado sobre un dispositivo vulnerable y ha indicado que publicará más detalles técnicos. La existencia de un PoC —reportada por medios especializados como BleepingComputer— incrementa la probabilidad de rápida armamentización por parte de actores maliciosos tras difundirse los pormenores.
Superficie de ataque: interfaz web y exposición de SSL VPN
El disparador principal es la disponibilidad del panel web vía HTTP/HTTPS, especialmente cuando está expuesto en la WAN. El fabricante recomienda deshabilitar el acceso administrativo remoto y endurecer el control de acceso a SSL VPN con ACL y segmentación VLAN. Incluso con la administración externa desactivada, el riesgo persiste desde la red interna ante hosts comprometidos o amenazas internas.
Modelos afectados y estado de los parches
La vulnerabilidad engloba múltiples modelos DrayTek Vigor. El proveedor ha publicado firmware actualizado que corrige el fallo y urge a los administradores a aplicar las versiones indicadas en su aviso oficial. Se aconseja respaldar la configuración, programar una ventana de mantenimiento y, tras el parcheo, validar el acceso a servicios y la coherencia de las políticas.
Impacto en el perímetro: por qué el riesgo es elevado
Los routers perimetrales controlan el flujo de tráfico de toda la red. Su compromiso permite manipular rutas, interceptar datos, alterar reglas de firewall o establecer persistencia para movimiento lateral. La historia reciente —de botnets como Mirai a campañas como VPNFilter o Cyclops Blink— demuestra que las vulnerabilidades en equipos SOHO/SMB son explotadas con escaneo masivo y automatización, especialmente cuando existe un panel web expuesto o un servicio VPN mal configurado.
Medidas de mitigación y endurecimiento recomendadas
Actualice de inmediato a las versiones de firmware publicadas por DrayTek. Desactive la administración desde WAN; si el acceso remoto es imprescindible, restrínjalo por IP mediante ACL, utilice un VLAN de gestión dedicado y fuerce el acceso por VPN con MFA.
Permita únicamente HTTPS con cifrados modernos, deshabilite protocolos obsoletos, use contraseñas robustas y únicas, y elimine o desactive cuentas predeterminadas. Active el registro de eventos, supervise intentos de acceso y actividad anómala con alertas, e integre firmas específicas en su IDS/IPS. Audite de forma periódica la configuración en busca de persistencia (scripts de arranque, cambios no autorizados en NAT/ACL).
Si el panel web estuvo expuesto a Internet, realice un análisis retrospectivo de logs, verifique la integridad del firmware (hashes) y, ante cualquier sospecha, reinstale desde una fuente confiable y cargue una configuración “limpia”. Complementariamente, revise inventarios y superficies expuestas, y aplique reglas de minimización de ataque: cierre de puertos innecesarios, segmentación y principio de mínimo privilegio.
La combinación de parcheo oportuno, reducción de superficie (sin administración por WAN, ACL estrictas, segmentación VLAN) y monitoreo continuo es esencial para contener CVE-2025-10547. Revise de inmediato los servicios expuestos, actualice los DrayTek Vigor afectados e implemente controles de acceso adicionales. Mantenerse al día con los boletines del proveedor y de fuentes confiables ayudará a anticipar intentos de explotación a medida que se divulguen más detalles técnicos.
