W kilkudziesięciu modelach routerów TP-Link możliwe zdalne wstrzykiwanie kodu: producent potwierdza lukę

11 stycznia 2018

Kilkadziesiąt modeli routerów TP-Link może być podatnych na zdalne wykonanie dowolnego polecenia metodą „Command Injection”, z tą zależnością, że wcześniej musi się uwierzytelnić na routerze jako administrator, czyli po prostu zalogować się, uzyskując login i hasło. Może to zrobić lokalnie (LAN) lub zdalnie (WAN), jeżeli funkcja zdalnego dostępu do zarządzania routera jest włączona i wykorzystać swoje uwierzytelnienie do uruchomienia np. przekierowania portów lub zmiany adresów DNS (opublikowano PoC skutecznego ataku, gdzie udało się nawiązać z podatnym routerem sesję telnet).

Testy wykonano na modelu TL-WVR450L z wersją firmware V1.0161125 oraz na modelu TL-WVR900G z oprogramowaniem V3.0_170306, ale poniższe modele także mogą być podatne, co potwierdził producent:

  • TP-Link ER5110G,
  • TP-Link ER5120G,
  • TP-Link ER5510G,
  • TP-Link ER5520G,
  • TP-Link R4149G,
  • TP-Link R4239G,
  • TP-Link R4299G,
  • TP-Link R473GP-AC,
  • TP-Link R473G,
  • TP-Link R473P-AC,
  • TP-Link R473,
  • TP-Link R478G+,
  • TP-Link R478,
  • TP-Link R478+,
  • TP-Link R483G,
  • TP-Link R483,
  • TP-Link R488,
  • TP-Link WAR1300L,
  • TP-Link WAR1750L,
  • TP-Link WAR2600L,
  • TP-Link WAR302,
  • TP-Link WAR450L,
  • TP-Link WAR450,
  • TP-Link WAR458L,
  • TP-Link WAR458,
  • TP-Link WAR900L,
  • TP-Link WVR1300G,
  • TP-Link WVR1300L,
  • TP-Link WVR1750L,
  • TP-Link WVR2600L,
  • TP-Link WVR300,
  • TP-Link WVR302,
  • TP-Link WVR4300L,
  • TP-Link WVR450L,
  • TP-Link WVR450,
  • TP-Link WVR458L,
  • TP-Link WVR900G,
  • TP-Link WVR900L

Na podatność zgłoszoną we wrześniu 2017 roku zarezerwowano już identyfikator CVE-2017-15637. Producent potwierdził w styczniu 2018 roku, że kilkadziesiąt innych modeli także zawiera podobą lukę w firmware. Chociaż problem z bezpieczeństwem został rozwiązany w najnowszych aktualizacjach, to i tak warto ograniczyć logowanie do panelu administratora dla urządzeń bezpośrednio podłączonych do routera, czyli wyłączając logowanie przez sieć WAN lub sieć Wi-Fi.

Luka jest poważna. Otrzymała 7.2 punktów w wyniku CVSS (Common Vulnerability Scoring System), chociaż exploit (jest kwestią czasu, ponieważ opublikowano PoC dający dostęp zdalny) nie jest jeszcze gotowy.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
Podaj porawny e-mail, aby dostać powiadomienie o odpowiedzi na Twój post.
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ