• TWEAK
• Hardware
• Netværk

TP-Link lukker stort hul i sikkerheden på routere

TP-Link har efterfølgende opdateret sikkerheden mod en kritisk sårbarhed, der påvirker nogle af deres Archer-routere, som kunne give potentielle angribere mulighed for at kravle forbi admin-adgangskoder og eksternt tage kontrol over enhederne via LAN og en Telnet-forbindelse.

"If exploited, this router vulnerability can allow a remote attacker to take control of the router’s configuration via Telnet on the local area network (LAN) and connect to a File Transfer Protocol (FTP) server through the LAN or wide area network (WAN)," 

 - fortæller IBM X-Force Reds Grzegorz Wypych.

For at udnytte denne sikkerhedsfejl skal hackerne sende en HTTP-anmodning, der indeholder en karakterstreng, der er længere end det tilladte antal bytes, med resultatet at brugeradgangskoden nulstilles, og erstattet med en 0-værdi.

Dette fungerer trods indbygget validering i routeren, fordi det kun kontrollerer henvisernes HTTP-headere, hvilket giver angriberen mulighed for at snyde routerens httpd-service til at genkende anmodningen som værende valid ved hjælp af den hardkodede tplinkwifi.net-value.

Da den eneste type brugere på disse routere er admin med full root permissions, når trusselaktørerne først omgår autentificeringsprocessen, vil de automatisk få administratorrettigheder på routeren, og dermed fri adgang til at ændre efter velbehag. 

"all processes are run by the user under this access level, which can allow an attacker to operate as admin and take over the device."

"Not only can attackers attain privileged access, but the legitimate user can also be locked out and would no longer be able to log in to the web service through the user interface since that page would no longer accept any passwords (unbeknownst to the user),"

"In such an event, the victim could lose access to the console and even a shell, and thereby would not be able to re-establish a new password."

tilføjer Wypych.

For at toppe listen af potentielle problemer af. Selvom ejeren af routeren konfigurerer en ny adgangskode på enheden, kan hackeren endnu en gang annullere denne med LAN / WAN / CGI-anmodning, hvorefter kun USB forbindelserne til den indbyggede FTP-server, bliver den eneste måde at få adgang.

Ydermere vil RSA-krypteringsnøgler vil også automatisk fejle, da de ikke vil arbejde med ”tomme” adgangskoder.

Sikkerhedsrettelser tilgængelige

TP-Link har allerede frigivet patches for at hjælpe kunder med at beskytte deres routere mod angreb, der vil misbruge denne sikkerhedssårbarhed, der i øjeblikket er navngivet CVE-2019-7405.

Du kan downloade sikkerhedsrettelser til Archer C5 V4, Archer MR200v4, Archer MR6400v4 og Archer MR400v3 routere herfra

OPDATERING: På nuværende tidspunkt tyder det på alle patct links er nede. Vi følger op.

Source & Image credit:

securityintelligence