TP-LINK исправляет уязвимость в старых роутерах, которая позволяла исполнять на них код
Производитель роутеров TP-Link закрыл уязвимость в снятых с производства моделях. В случае эксплуатации эту уязвимость можно было использовать, чтобы исполнять код на устройстве.
Исследователи из компании Senrio, которая специализируется на безопасности интернета вещей, обнаружили уязвимость в сервисе настройки роутеров TP-Link PTWR841N V8.
Они сталкивались с похожей уязвимостью прошлым летом – она также затрагивала сервис настройки «умного» устройства. В тот раз это был уязвимый компонент в прошивке более чем сотни моделей Wi-Fi-камер D-Link, и из-за чего они были уязвимы к удаленным атакам.
Что же до роутеров, то, используя ошибку в прошивке роутеров, исследователи смогли обнулить данные, используемые для входа в центр настройки устройства, а затем получить возможность исполнения кода на нем, использовав переполнение буфера.
После того как исследователи из Senrio обратили на это внимание сотрудников отдела безопасности TP-Link, те согласились убрать сервис настройки из данной модели роутера, даже несмотря на то, что он относится к снятому с производства семейству.
Исследователи одобряют такой шаг со стороны компании, однако они предупреждают, что, вероятно, многие пользователи этих роутеров до сих пор используют не самую новую, непропатченную версию прошивки. Если судить по цифрам, которые выдает Shodan, как минимум 93 328 таких роутеров используется по всему миру.
Покуда уязвимости не были устранены, их можно было эксплуатировать в атаке с размещенным поблизости смартфоном, на котором была активирована точка доступа. Эта атака подразумевала отправку некоторого количества команд на целевое устройство. Распишем это чуть подробнее.
Сервис настройки позволял пользователю, находящемуся в сети, считывать и записывать системные настройки. Любые параметры команд, с помощью которых это делалось, должны были быть зашифрованы с помощью ключа, сгенерированного на основании данных о логине и пароле для входа в настройки. Поскольку исследователи смогли получить зашифрованную версию текста из сервиса настройки, они поняли, что его можно скопировать и отправить обратно как параметр команды. Исследователи дали точке доступа на смартфоне имя, совпадающее с шифрованным видом текста, и затем отправили на роутер команду искать расположенные поблизости точки доступа. Но прежде они добавили слово «init» в конец названия.
«Мы знали, что 8 знаков после уже известного нам куска шифрованного текста – это будет шифрованная версия слова «init» – пишут исследователи. – А раз у нас есть init в зашифрованном виде, то теперь мы можем использовать его как параметр для команды, чтобы сбросить роутер к настройкам по умолчанию. В том числе логин и пароль тоже были сброшены к дефолтным значениям.»
Ну а дальше исследователи использовали атаку с переполнением буфера, чтобы провести простую демонстрацию – они запустили код, который заставлял роутер мигать лампочками, выдавая в эфир фразу «Hi Senrio» морзянкой.
Видео с демонстрацией атаки можно найти в блогпосте, посвященном уязвимости, который исследователи опубликовали в понедельник.
Как показало исследование сотрудников израильского университета Бен-Гуриона, опубликованное на прошлой неделе, с помощью мигания лампочками роутер может передавать в эфир не только шутки, но и важные данные. Исследователи утверждают, что им удалось извлекать данные со скоростью 8000 бит в секунду, используя роутер с восемью светодиодами.
Также исследователи из Senrio утверждают, что атакующий может использовать уязвимость, чтобы модифицировать настройки роутера, заставляя его перенаправлять трафик на вредоносный сервер.