W kilkudziesięciu modelach routerów TP-Link możliwe zdalne wstrzykiwanie kodu: producent potwierdza lukę

11 stycznia, 2018

Kilkadziesiąt modeli routerów TP-Link może być podatnych na zdalne wykonanie dowolnego polecenia metodą „Command Injection”, z tą zależnością, że wcześniej musi się uwierzytelnić na routerze jako administrator, czyli po prostu zalogować się, uzyskując login i hasło. Może to zrobić lokalnie (LAN) lub zdalnie (WAN), jeżeli funkcja zdalnego dostępu do zarządzania routera jest włączona i wykorzystać swoje uwierzytelnienie do uruchomienia np. przekierowania portów lub zmiany adresów DNS (opublikowano PoC skutecznego ataku, gdzie udało się nawiązać z podatnym routerem sesję telnet).

Testy wykonano na modelu TL-WVR450L z wersją firmware V1.0161125 oraz na modelu TL-WVR900G z oprogramowaniem V3.0_170306, ale poniższe modele także mogą być podatne, co potwierdził producent:

  • TP-Link ER5110G,
  • TP-Link ER5120G,
  • TP-Link ER5510G,
  • TP-Link ER5520G,
  • TP-Link R4149G,
  • TP-Link R4239G,
  • TP-Link R4299G,
  • TP-Link R473GP-AC,
  • TP-Link R473G,
  • TP-Link R473P-AC,
  • TP-Link R473,
  • TP-Link R478G+,
  • TP-Link R478,
  • TP-Link R478+,
  • TP-Link R483G,
  • TP-Link R483,
  • TP-Link R488,
  • TP-Link WAR1300L,
  • TP-Link WAR1750L,
  • TP-Link WAR2600L,
  • TP-Link WAR302,
  • TP-Link WAR450L,
  • TP-Link WAR450,
  • TP-Link WAR458L,
  • TP-Link WAR458,
  • TP-Link WAR900L,
  • TP-Link WVR1300G,
  • TP-Link WVR1300L,
  • TP-Link WVR1750L,
  • TP-Link WVR2600L,
  • TP-Link WVR300,
  • TP-Link WVR302,
  • TP-Link WVR4300L,
  • TP-Link WVR450L,
  • TP-Link WVR450,
  • TP-Link WVR458L,
  • TP-Link WVR900G,
  • TP-Link WVR900L

Na podatność zgłoszoną we wrześniu 2017 roku zarezerwowano już identyfikator CVE-2017-15637. Producent potwierdził w styczniu 2018 roku, że kilkadziesiąt innych modeli także zawiera podobą lukę w firmware. Chociaż problem z bezpieczeństwem został rozwiązany w najnowszych aktualizacjach, to i tak warto ograniczyć logowanie do panelu administratora dla urządzeń bezpośrednio podłączonych do routera, czyli wyłączając logowanie przez sieć WAN lub sieć Wi-Fi.

Luka jest poważna. Otrzymała 7.2 punktów w wyniku CVSS (Common Vulnerability Scoring System), chociaż exploit (jest kwestią czasu, ponieważ opublikowano PoC dający dostęp zdalny) nie jest jeszcze gotowy.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]