Un investigador de seguridad ha descubierto una vulnerabilidad de ejecución remota de código (RCE) sin autenticación en el router Motorola MR2600, un dispositivo Wi-Fi 5 cuyo último firmware (v1.0.22) se publicó a mediados de 2024. El fallo combina dos errores encadenados que permiten a un atacante en la red local, o incluso remota si la gestión remota está activa, subir una imagen de firmware maliciosa y flashearla en el dispositivo sin necesidad de credenciales.
El primer error reside en el endpoint de subida de firmware (/WEBCGI1/prog.fcgi?method=/cgi-bin/fwupload.cgi), que está pensado para requerir autenticación pero escribe el archivo en /tmp/firmware.img antes de verificarla, por lo que el chequeo posterior no borra el contenido ya escrito. El segundo error se encuentra en la lógica de control de acceso: el código compara rutas incluidas en una lista blanca mediante subcadena, pero comprueba la ruta bloqueada (/WEBCGI1/) exigiendo coincidencia exacta. Enviando la solicitud como /WEBCGI1/?Login.html se supera la comprobación de la lista blanca y se esquiva el bloqueo.
Tras subir la imagen, basta con invocar la acción SOAP LoadFirmwareValidation para validar el SEAMA y ejecutar mtd_write, lo que provoca el flasheo y el reinicio del equipo con el firmware controlado por el atacante. Según Shodan, 41 routers MR2600 están expuestos en Internet con la gestión remota habilitada. Motorola habría trasladado el caso entre Motorola Mobility y Motorola Solutions y el autor no confirmó una respuesta final; el modelo ya está catalogado como fin de soporte y el servidor histórico de actualizaciones de Zoom está inactivo.
