W kilkudziesięciu modelach routerów TP-Link możliwe zdalne wstrzykiwanie kodu: producent potwierdza lukę

Kilkadziesiąt modeli routerów TP-Link może być podatnych na zdalne wykonanie dowolnego polecenia metodą „Command Injection”, z tą zależnością, że wcześniej musi się uwierzytelnić na routerze jako administrator, czyli po prostu zalogować się, uzyskując login i hasło. Może to zrobić lokalnie (LAN) lub zdalnie (WAN), jeżeli funkcja zdalnego dostępu do zarządzania routera jest włączona i wykorzystać swoje uwierzytelnienie do uruchomienia np. przekierowania portów lub zmiany adresów DNS (opublikowano PoC skutecznego ataku, gdzie udało się nawiązać z podatnym routerem sesję telnet).

Testy wykonano na modelu TL-WVR450L z wersją firmware V1.0161125 oraz na modelu TL-WVR900G z oprogramowaniem V3.0_170306, ale poniższe modele także mogą być podatne, co potwierdził producent:

  • TP-Link ER5110G,
  • TP-Link ER5120G,
  • TP-Link ER5510G,
  • TP-Link ER5520G,
  • TP-Link R4149G,
  • TP-Link R4239G,
  • TP-Link R4299G,
  • TP-Link R473GP-AC,
  • TP-Link R473G,
  • TP-Link R473P-AC,
  • TP-Link R473,
  • TP-Link R478G+,
  • TP-Link R478,
  • TP-Link R478+,
  • TP-Link R483G,
  • TP-Link R483,
  • TP-Link R488,
  • TP-Link WAR1300L,
  • TP-Link WAR1750L,
  • TP-Link WAR2600L,
  • TP-Link WAR302,
  • TP-Link WAR450L,
  • TP-Link WAR450,
  • TP-Link WAR458L,
  • TP-Link WAR458,
  • TP-Link WAR900L,
  • TP-Link WVR1300G,
  • TP-Link WVR1300L,
  • TP-Link WVR1750L,
  • TP-Link WVR2600L,
  • TP-Link WVR300,
  • TP-Link WVR302,
  • TP-Link WVR4300L,
  • TP-Link WVR450L,
  • TP-Link WVR450,
  • TP-Link WVR458L,
  • TP-Link WVR900G,
  • TP-Link WVR900L

Na podatność zgłoszoną we wrześniu 2017 roku zarezerwowano już identyfikator CVE-2017-15637. Producent potwierdził w styczniu 2018 roku, że kilkadziesiąt innych modeli także zawiera podobą lukę w firmware. Chociaż problem z bezpieczeństwem został rozwiązany w najnowszych aktualizacjach, to i tak warto ograniczyć logowanie do panelu administratora dla urządzeń bezpośrednio podłączonych do routera, czyli wyłączając logowanie przez sieć WAN lub sieć Wi-Fi.

Luka jest poważna. Otrzymała 7.2 punktów w wyniku CVSS (Common Vulnerability Scoring System), chociaż exploit (jest kwestią czasu, ponieważ opublikowano PoC dający dostęp zdalny) nie jest jeszcze gotowy.



Zapoznaj się z naszą ofertą

Jeśli zajmujesz się sprzedażą rozwiązań zabezpieczających, jesteś dystrybutorem, autoryzowanym partnerem lub producentem i chciałbyś na portalu AVLab zaprezentować swoje portfolio gronu potencjalnych odbiorców, zareklamować wydarzenie, oprogramowanie, sprzęt lub inne usługi — po prostu napisz do nas. A może mialeś/aś do czynienia z ransomware? Pomagamy też w odszyfrowaniu plików.
Czytaj więcej