Исследователи из Cisco Talos обнародовали четыре уязвимости, свойственные SOHO-роутерам TL-R600VPN производства TP-Link. Обновленные прошивки уже доступны, пользователям рекомендуется их установить в кратчайшие сроки.

Причин, по которым возникли проблемы, по словам экспертов, всего две: некорректная санация входных данных и ошибки в коде парсера. Пара уязвимостей позволяет удаленно выполнить произвольный код в контексте процесса HTTPD. Поскольку HTTP-демон запускают с правами root, вредоносный код будет исполнен с повышенными привилегиями.

Три уязвимости затрагивают TL-R600VPN версии 3 с прошивкой в сборке 1.3.0 и версии 2 с прошивкой сборки 1.2.3. Четвертая брешь присутствует только в TL-R600VPN версии 3 с прошивкой 1.3.0.

Баг отказа в обслуживании CVE-2018-3948, оцененный в 7,5 баллов по шкале CVSS, связан с функцией парсинга URI на HTTP-сервере устройства. Эксплуатация осуществляется с помощью вредоносного запроса HTTP GET, который можно подать без аутентификации. «Если попытаться выйти за пределы каталога ресурса на уязвимой странице (справка, изображения, фреймы, динамическая форма, локализация) и запрошенная страница представляет собой директорию, а не файл, веб-сервер войдет в бесконечный цикл, и портал управления окажется недоступным», — поясняют исследователи.

Уязвимость CVE-2018-3949 в HTTP-сервере, грозящая раскрытием информации, тоже получила 7,5 баллов. Согласно Cisco Talos, ее наличие позволяет получить доступ к корневому каталогу и просматривать любые файлы в системе. Эксплойт в данном случае аутентификации не требует.

RCE-баг CVE-2018-3950 связан с функциями ping (проверка доступности Интернета) и traceroute (трассировка пути) HTTP-сервера. Как оказалось, TL-R600VPN не проверяет размеры данных, передаваемых в поле ping_addr при выполнении ping-операции. «Отправив в это поле большое количество данных, атакующий сможет вызвать переполнение буфера в стеке, что приведет к удаленному исполнению кода или отказу HTTP-сервера устройства», — сказано в отчете Cisco Talos. Чтобы воспользоваться брешью, злоумышленник должен пройти аутентификацию, поэтому степень опасности CVE-2018-3950 несколько ниже — 7,2 балла.

Такую же оценку получила уязвимость CVE-2018-3951, связанная с парсингом HTTP-заголовков. Ее эксплойт тоже требует аутентификации и осуществляется подачей особого запроса; в случае успеха удаленный автор атаки сможет через переполнение буфера выполнить вредоносный код.

Категории: Главное, Уязвимости