Vulnerabilitate exploatată în routerele TP-Link pentru a executa cod
Sursă: https://cybersecuritynews.com
O vulnerabilitate de tip buffer overflow, identificată drept CVE-2024-54887, a fost descoperită în routerele TP-Link TL-WR940N, afectând în special versiunile hardware 3 și 4 cu versiunea firmware 3.16.9 și anterioare.
Această vulnerabilitate permite atacatorilor autentificați să execute cod arbitrar de la distanță, reprezentând un risc de securitate semnificativ pentru utilizatori.
Cauza principală pare a fi o eroare de tip buffer overflow în interfața web a routerului, în special în gestionarea parametrilor serverului DNS pentru tuneling-ul IPv6.
Conform unui specialist în domeniul securității, vulnerabilitatea provine din validarea necorespunzătoare a datelor de intrare în daemonul httpd al routerului. Doi parametri, dnsserver1 și dnsserver2, utilizați pentru configurarea serverelor DNS IPv6, nu sunt verificați corespunzător ca lungime înainte de a fi copiați într-un buffer de dimensiune fixă.
Funcția vulnerabilă a fost identificată prin corelarea cererilor web cu funcțiile backend. Apelurile la funcții C nesigure, cum ar fi strcpy(), au fost indicatori cheie.
S-a constatat că, deși existau unele validări ale lungimii șirului de caractere, parametrii dnsserver1 și dnsserver2 nu erau verificați.
Impactul acestei vulnerabilități este grav, deoarece permite unui atacator autentificat să execute cod arbitrar cu privilegii de root. Acțiunile malițioase potențiale includ:
- Instalarea de software backdoor persistent;
- Interceptarea traficului de rețea;
- Utilizarea routerului ca parte a unui botnet;
- Modificarea setărilor DNS pentru atacuri de tip phishing.
TP-Link a confirmat că versiunile hardware 3 și 4 ale TL-WR940N au ajuns la sfârșitul ciclului de producție și nu vor mai primi actualizări de securitate. Utilizatorii acestor modele sunt insistent sfătuiți să facă upgrade la modele de routere mai noi, acceptate, cu funcții de securitate actuale.
Se recomandă ca utilizatorii care nu pot face actualizarea imediat să dezactiveze administrarea de la distanță, să utilizeze parole puternice, să aplice orice actualizări de firmware disponibile și să fie atenți la orice activitate neobișnuită.
Sursă: https://cybersecuritynews.com/tp-link-router-buffer-overflow-vulnerability/
