Kilkadziesiąt modeli routerów TP-Link może być podatnych na zdalne wykonanie dowolnego polecenia metodą „Command Injection”, z tą zależnością, że wcześniej musi się uwierzytelnić na routerze jako administrator, czyli po prostu zalogować się, uzyskując login i hasło. Może to zrobić lokalnie (LAN) lub zdalnie (WAN), jeżeli funkcja zdalnego dostępu do zarządzania routera jest włączona i wykorzystać swoje uwierzytelnienie do uruchomienia np. przekierowania portów lub zmiany adresów DNS (opublikowano PoC skutecznego ataku, gdzie udało się nawiązać z podatnym routerem sesję telnet).
Testy wykonano na modelu TL-WVR450L z wersją firmware V1.0161125 oraz na modelu TL-WVR900G z oprogramowaniem V3.0_170306, ale poniższe modele także mogą być podatne, co potwierdził producent:
- TP-Link ER5110G,
- TP-Link ER5120G,
- TP-Link ER5510G,
- TP-Link ER5520G,
- TP-Link R4149G,
- TP-Link R4239G,
- TP-Link R4299G,
- TP-Link R473GP-AC,
- TP-Link R473G,
- TP-Link R473P-AC,
- TP-Link R473,
- TP-Link R478G+,
- TP-Link R478,
- TP-Link R478+,
- TP-Link R483G,
- TP-Link R483,
- TP-Link R488,
- TP-Link WAR1300L,
- TP-Link WAR1750L,
- TP-Link WAR2600L,
- TP-Link WAR302,
- TP-Link WAR450L,
- TP-Link WAR450,
- TP-Link WAR458L,
- TP-Link WAR458,
- TP-Link WAR900L,
- TP-Link WVR1300G,
- TP-Link WVR1300L,
- TP-Link WVR1750L,
- TP-Link WVR2600L,
- TP-Link WVR300,
- TP-Link WVR302,
- TP-Link WVR4300L,
- TP-Link WVR450L,
- TP-Link WVR450,
- TP-Link WVR458L,
- TP-Link WVR900G,
- TP-Link WVR900L
Na podatność zgłoszoną we wrześniu 2017 roku zarezerwowano już identyfikator CVE-2017-15637. Producent potwierdził w styczniu 2018 roku, że kilkadziesiąt innych modeli także zawiera podobą lukę w firmware. Chociaż problem z bezpieczeństwem został rozwiązany w najnowszych aktualizacjach, to i tak warto ograniczyć logowanie do panelu administratora dla urządzeń bezpośrednio podłączonych do routera, czyli wyłączając logowanie przez sieć WAN lub sieć Wi-Fi.
Luka jest poważna. Otrzymała 7.2 punktów w wyniku CVSS (Common Vulnerability Scoring System), chociaż exploit (jest kwestią czasu, ponieważ opublikowano PoC dający dostęp zdalny) nie jest jeszcze gotowy.
Czy ten artykuł był pomocny?
Oceniono: 0 razy