Публичное раскрытие уязвимостей в роутерах Archer C2 и C20i производства TP-Link заставило китайского вендора ускорить работу над обновлением прошивок. Самая серьезная из этих брешей грозит удаленным исполнением кода, если атакующему удастся раздобыть действительные учетные данные.

Уязвимости обнаружил 17 сентября исследователь из Кот-д’Ивуара Пьер Ким (Pierre Kim). Он доложил о них вендору 26 и 27 декабря через живой чат и службу техподдержки. В чате ему ответили, что у TP-Link нет своей процедуры приема отчетов об уязвимостях, а контакты ИБ-службы не разглашаются. Тем не менее 9 января компания подтвердила наличие уязвимостей и сообщила, что работает над обновлением прошивки.

Ким еще четыре раза связывался с TP-Link, а затем опубликовал информационный бюллетень на GitHub и разослал его подписчикам на email-рассылки SecLists.org, в том числе по списку Full Disclosure. По последним данным, вендор планирует выпустить обновления в текущем месяце.

Обнаруженный Кимом баг внедрения команд (удаленного исполнения кода с правами root аутентифицированным пользователем) кроется в интерфейсе управления HTTP-связью и затрагивает все версии прошивок, в том числе новейшую (0.9.1 4.2 v0032.0, Build 160706 Rel.37961n). Эксплойт возможен отправкой единственного специально сформированного HTTP-запроса. Используя так называемую страницу диагностики, атакующий, как обнаружил Ким, сможет запустить на исполнение любую команду, в том числе telnetd, манипулируя полем remote host утилиты ping.

В бюллетене исследователь привел образец HTTP-запроса, с помощью которого аутентифицированный пользователь сможет инициировать исполнение telnetd на TCP-порту 25. С этой же целью можно использовать обратный апостроф. «Используя эту RCE, злоумышленник сможет получить дамп конфигурации и изменить ее, редактируя /dev/mtd3», — пишет Ким.

Кроме RCE-бага исследователь обнаружил уязвимость, позволяющую вызвать состояние отказа в обслуживании на удаленном HTTP-сервере, а также упущения в правилах брандмауэра, которые «по умолчанию слишком либеральны для WAN-интерфейса». «Бинарные коды (/usr/bin/cos, /usr/bin/tmpd, /lib/libcmm.so) в целом плохо спроектированы, эти программы выполняют огромное количество system() и работают как root», — отметил также Ким. Демон /usr/bin/cos запускает, в частности, FTP-сервер (vsftpd), доступ к которому, как оказалось, осуществляется под дефолтными слабыми паролями, что тоже большой минус.

Прошлым летом TP-Link попала в неприятную ситуацию: компания потеряла контроль над двумя доменами, которые использовались для настройки роутеров. Срок действия сертификатов для этих доменов истек, и доменные имена были перепроданы брокерам, которые сразу начали искать покупателей. Домен tplinklogin[.]net вендор использовал, чтобы облегчить владельцам роутеров доступ к страницам настроек, этот домен был даже указан на этикетке на нижней панели роутеров и в технической документации.

Категории: Аналитика, Уязвимости