- 20,338
- 46
- 8 Ноя 2022
Уязвимость нулевого дня позволяет красть пароли и управлять домашней сетью пользователей.
TP-Link подтвердила наличие новой уязвимости нулевого дня, которая затрагивает сразу несколько моделей её маршрутизаторов. Обнаружил проблему независимый исследователь, выступающий под ником Mehrun (ByteRay). Он сообщил о ней ещё 11 мая 2024 года, однако до сих пор исправление выпущено не для всех устройств. В компании признали факт существования ошибки и заявили, что ведут работу над обновлениями. На данный момент устранение сбоя доступно лишь для европейских версий прошивок, а адаптация для США и других регионов пока продолжается без точных сроков выхода.
Уязвимость пока не получила идентификатор CVE. Она представляет собой переполнение буфера в реализации протокола CWMP (CPE WAN Management Protocol), используемого для удалённого администрирования маршрутизаторов. Ошибка кроется в функции обработки SOAP-сообщений SetParameterValues: вызовы strncpy выполняются без проверки границ, что при размере входного буфера свыше 3072 байт приводит к возможности выполнения произвольного кода. Mehrun пояснил, что реальная атака может быть реализована через подмену CWMP-сервера и передачу специально созданного SOAP-запроса. Это может быть достигнуто как за счёт эксплуатации старых прошивок, так и через использование стандартных учётных данных, которые владельцы не меняли после покупки.
При успешной эксплуатации злоумышленник получает возможность перенаправлять DNS-запросы на поддельные серверы, незаметно подслушивать или изменять нешифрованный трафик, а также внедрять вредоносные данные в сессии пользователей. Исследователь подтвердил подверженность моделей Archer AX10 и Archer AX1500, которые до сих пор находятся в продаже и пользуются широкой популярностью. Дополнительно под угрозой могут быть EX141, Archer VR400, TD-W9970 и ряд других устройств производителя.
TP-Link уточнила, что специалисты компании сейчас анализируют степень риска и проверяют, включён ли CWMP по умолчанию. Пользователям до выхода исправлений рекомендовано изменить заводские пароли администратора, отключить CWMP, если он не используется, обновить прошивку до последней версии и по возможности изолировать маршрутизатор от критически важных сегментов сети.
TP-Link подтвердила наличие новой уязвимости нулевого дня, которая затрагивает сразу несколько моделей её маршрутизаторов. Обнаружил проблему независимый исследователь, выступающий под ником Mehrun (ByteRay). Он сообщил о ней ещё 11 мая 2024 года, однако до сих пор исправление выпущено не для всех устройств. В компании признали факт существования ошибки и заявили, что ведут работу над обновлениями. На данный момент устранение сбоя доступно лишь для европейских версий прошивок, а адаптация для США и других регионов пока продолжается без точных сроков выхода.
Уязвимость пока не получила идентификатор CVE. Она представляет собой переполнение буфера в реализации протокола CWMP (CPE WAN Management Protocol), используемого для удалённого администрирования маршрутизаторов. Ошибка кроется в функции обработки SOAP-сообщений SetParameterValues: вызовы strncpy выполняются без проверки границ, что при размере входного буфера свыше 3072 байт приводит к возможности выполнения произвольного кода. Mehrun пояснил, что реальная атака может быть реализована через подмену CWMP-сервера и передачу специально созданного SOAP-запроса. Это может быть достигнуто как за счёт эксплуатации старых прошивок, так и через использование стандартных учётных данных, которые владельцы не меняли после покупки.
При успешной эксплуатации злоумышленник получает возможность перенаправлять DNS-запросы на поддельные серверы, незаметно подслушивать или изменять нешифрованный трафик, а также внедрять вредоносные данные в сессии пользователей. Исследователь подтвердил подверженность моделей Archer AX10 и Archer AX1500, которые до сих пор находятся в продаже и пользуются широкой популярностью. Дополнительно под угрозой могут быть EX141, Archer VR400, TD-W9970 и ряд других устройств производителя.
TP-Link уточнила, что специалисты компании сейчас анализируют степень риска и проверяют, включён ли CWMP по умолчанию. Пользователям до выхода исправлений рекомендовано изменить заводские пароли администратора, отключить CWMP, если он не используется, обновить прошивку до последней версии и по возможности изолировать маршрутизатор от критически важных сегментов сети.
- Источник новости
- www.securitylab.ru
