TP-Link Archer C5400X – uwaga na krytyczną lukę, jest aktualizacja
Jak poinformował dziś serwis SecurityAffairs, posiadacze gamingowych routerów TP-Link Archer C5400X są narażeni na bardzo poważną lukę (CVSS 10.0, co oznacza najbardziej niebezpieczne podatności). Jest też dobra wiadomość: TP-Link stanął na wysokości zadania i już udostępnił łatkę.
Ważna informacja dla wszystkich posiadaczy routerów promowanych jako sprzęt dla miłośników gamingu. Chodzi o model TP-Link Archer C5400X. Luka jest bardzo poważna, bo pozwala wykorzystującemu ją, nieuwierzytelnionemu na urządzeniu agresorowi na zdalne wykonanie dowolnego kodu, a tym samym, w praktyce, możliwość przejęcia całkowitej kontroli nad urządzeniem.
Sam sprzęt, w którym wykryto podatność to szybki, zaawansowany router, przeznaczony do wymagających zastosowań takich jak gry online, streaming wysokiej jakości treści online itp.
Jeżeli chodzi o szczegóły techniczne, to jak informuje Pierluigi Paganini z SecurityAffairs, luka występuje w pliku binarnym o nazwie „rftest”. Plik ten stanowi część kodu automatycznie wykonywanego podczas uruchamiania urządzenia (rzeczonego routera).
Eksperci i analitycy zajmujący się cyberbezpieczeństwem odkryli, że wspomniany plik binarny ujawnia usługę sieciową, którą potencjalni agresorzy mogą wykorzystać do zdalnego wstrzykiwania nieuwierzytelnionych poleceń, a także możliwe jest przepełnienie bufora na portach TCP 8888, 8889 i 8890. Przepełnienie bufora to atak pozwalający zdalnemu agresorowi uzyskanie wyższego poziomu uprawnień na atakowanym urządzeniu.
„Dzięki pomyślnemu wykorzystaniu tej luki zdalny, nieuwierzytelniony atakujący może uzyskać wykonanie dowolnego polecenia na urządzeniu z podwyższonymi uprawnieniami” – takie słowa można przeczytać w dopiero co opublikowanym wpisie na blogu firmy OneKey, zajmującej się doradztwem w zakresie cyberbezpieczeństwa.
Eksperci zauważyli, że po uruchomieniu pliku binarnego uruchamia on serwer TCP na porcie 8888, przyjmując polecenia od klientów. Plik binarny akceptuje tylko polecenia zaczynające się od „wl” lub „nvram get”. Jednakże to ograniczenie można ominąć dodając do wstrzykiwanych poleceń metaznaki powłoki, takie jak „;”, „&” lub „|”.
Firma TP-Link poinformowała o udostępnieniu aktualizacji oprogramowania rzeczonego routera. Po instalacji łatki urządzenie będzie odrzucać automatycznie wszelkie polecenia wykorzystujące metaznaki powłoki. Wszystkie wersje oprogramowania sprzętowego routera Archer C5400X do numeru 1.1.6 zawierają tę podatność. Problem rozwiązuje pobranie i instalacja w routerze pliku Archer C5400X(EU)_V1_1.1.7 Build 20240510.
