O vulnerabilitate critică de tip buffer overflow, identificată prin CVE-2024-54887, a fost descoperită în routerele TP-Link TL-WR940N, afectând în special versiunile de hardware 3 și 4 cu versiunea de firmware 3.16.9 și anterioare. Această vulnerabilitate permite atacatorilor autentificați să execute cod arbitrar de la distanță, prezentând un risc semnificativ de securitate pentru utilizatori.
TL;DR
- Vulnerabilitate critică în routerele TP-Link TL-WR940N.
- Permite executarea de cod la distanță de către atacatori autentificați.
- Afectează versiunile hardware 3 și 4 cu firmware 3.16.9 sau mai vechi.
- TP-Link nu va oferi actualizări de securitate pentru aceste modele.
- Recomandat de a schimba routerul sau de a dezactiva administrarea de la distanță.
Detalii despre vulnerabilitate
O problemă critică a fost semnalată în routerele TP-Link TL-WR940N, care poate permite unui atacator să preia controlul unui dispozitiv prin Internet. Identificată ca CVE-2024-54887, această eroare afectează versiunile de hardware 3 și 4. Atacatorii pot profita de o gestionare neconformă a parametrilor DNS ai serverului pentru tunelare IPv6, creând posibilitatea de a executa cod arbitrar.
Cauzele și efectele tehnice
Conform lui Joward Bince, cercetător în securitate, vulnerabilitatea provine dintr-o verificare incorectă a introducerii în daemona httpd a routerului. Parametrii dnsserver1 și dnsserver2 nu sunt verificați corect și permit depășirea bazei de memorie tampon. Aceasta poate duce la suprascrierea zonelor critice de memorie.
Detalii tehnice și dovada conceptului
Cercetătorii au analizat firmware-ul dispozitivului cu ajutorul framework-ului Firmadyne și au descoperit că îi lipsesc protecțiile NX și PIE, ceea ce face exploatarea ușor de realizat. Astfel, a fost dezvoltat un exploit PoC, utilizând Python, pentru a demonstra utilizarea codului ROP pentru controlul fluxului execuției.
Impact și măsuri recomandate
Impactul acestei vulnerabilități este sever, permițând executarea de cod cu privilegii de root. Acțiuni dăunătoare pot include instalarea unor backdoor-uri persistente, interceptarea traficului de rețea sau utilizarea routerului într-un botnet. TP-Link a confirmat că modelele afectate nu vor mai primi actualizări, recomandând utilizatorilor să își schimbe routerele sau să dezactiveze administrarea de la distanță și să utilizeze parole puternice.
Cum să vă protejați
Pentru a se proteja de vulnerabilități similare, utilizatorii sunt sfătuiți să actualizeze constant firmware-ul dispozitivelor, să dezactiveze funcțiile de administrare la distanță dacă nu sunt necesare și să monitorizeze activitatea neobișnuită în rețea. Utilizarea unui software antivirus actualizat și o configurare atentă a rețelei pot diminua riscurile exploatărilor viitoare.
Sursa articolului:
https://cybersecuritynews.com/tp-link-router-buffer-overflow-vulnerability/
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
