TP-Link'in Archer model router'larında, siber saldırganların yönetici şifrelerini geçersiz kılarak bir Telnet bağlantısı ile LAN üzerinden cihazları uzaktan kontrol edebildikleri kritik bir güvenlik açığı keşfedildi. Şirket, CVE-2019-7405 olarak adlandırılan açığın ortaya çıkmasının ardından, gelebilecek potansiyel saldırılara karşı güvenlik yaması yayınladı.
IBM X-Force Red'te güvenlik danışmanı olan Grzegorz Wypych, "Eğer bu router güvenlik açığı kötüye kullanılırsa, saldırgaların router'ın yapılandırmasını yerel alan ağında (LAN) Telnet aracılığıyla kontrol edebilmesine ve LAN veya geniş alan ağı (WAN) üzerinden bir Dosya Aktarım Protokolü (FTP) sunucusuna bağlanmasına neden olabilir" dedi.
Güvenlik açığından yararlanmaya çalışan saldırganlar izin verilen bayt sayısından daha uzun karakter dizisi içeren bir HTTP isteği gönderiyor. Bunun sonucunda kullanıcı şifresi tamamen geçersiz hale getirilerek boş bir değerle değiştiriliyor. Bu yöntem cihazdaki doğrulamaya rağmen çalışıyor, çünkü yalnızca yönlendirenin HTTP üstbilgisini kontrol ediyor ve saldırgan router'ın httpd hizmetini, kodlanmış tplinkwifi.net değerini kullanarak kandırmasını sağlıyor.
Açıktan etkilenen router'lardaki tek kullanıcı türü cihazın tüm izinlerine sahip olan yönetici olduğundan, siber saldırganlar kimlik doğrulamayı atlayarak otomatik olarak yönetici ayrıcalıkları elde ediyor. Daha da kötüsü router sahibi cihaza yeni bir şifre belirlemiş olsa bile, saldırganlar FTP sunucusunun yerleşik USB bağlantılarına LAN / WAN / CGI isteği göndererek şifreyi yeniden etkisiz hale getirebiliyor.
TP-Link, Archer C5 V4, Archer MR200v4, Archer MR6400v4 ve Archer MR400v3 cihazları için güvenlik yamalarını kullanıcılarına sundu.
