Site icon Kiber.ba

Hakeri iskorištavaju ranjivost TP-Link-a da bi dobili root pristup

Hakeri iskorištavaju ranjivost TP-Link-a da bi dobili root pristup-Kiber.ba

Hakeri iskorištavaju ranjivost TP-Link-a da bi dobili root pristup-Kiber.ba

Istraživači su otkrili kritičnu ranjivost u TP-Link TL-WR845N ruterima koja bi mogla omogućiti napadačima da steknu potpunu kontrolu nad pogođenim uređajima. 

Greška, identifikovana kao CVE-2024-57040 i dodjeljena CVSS ocena 9,8 (kritično), otkriva tvrdokodirane akreditive root shell-a uskladištene u fajlovima firmvera rutera, stvarajući značajan bezbjednosni rizik za korisnike širom svijeta.

Prema IoT Security Research Lab-u, ranjivost proizilazi iz MD5 heširanih root lozinki pohranjenih u otvorenom tekstu unutar javno dostupnih fajlova firmvera. 

Akreditivi se pohranjuju na dvije specifične lokacije: “squashfs-root/etc/passwd” i “squashfs-root/etc/passwd.bak”. Izložena tvrdo kodirana root lozinka može se lako razbiti kako bi se otkrilo „1234“, dok se root korisničko ime pojavljuje u otvorenom tekstu kao „admin“.

Stručnjaci za sigurnost primjećuju da su pogođene sve poznate verzije firmvera TP-Link TL-WR845N rutera, uključujući:

Ova ranjivost predstavlja ozbiljan sigurnosni rizik jer napadači sa ovim kredencijalima u suštini mogu preuzeti potpunu kontrolu nad ruterom, potencijalno presrećući mrežni promet i instalirajući trajni backdoor.

Faktori rizikaDetalji
Pogođeni proizvodiTL-WR845N(UN)_V4_190219TL-WR845N(UN)_V4_200909TL-WR845N(UN)_V4_201214
UticajNeovlašteni pristup ruteru na root nivou
Preduvjeti za eksploatacijuPoznavanje tvrdokodirane root lozinke rutera, napad grubom silom za dobivanje lozinke
CVSS 3.1 ScoreOsnovni rezultat: 9,8 (kritično)

Metode eksploatacije

Prema timu sigurnosnih istraživača iz Laboratorije za istraživanje sigurnosti interneta stvari na Indijskom institutu za informacione tehnologije u Alahabadu, napadači mogu dobiti firmver rutera na dvije osnovne metode. 

Prvi uključuje fizički pristup za izdvajanje SPI Flash memorije direktno iz uređaja. 

Druga, više zabrinjavajuća metoda omogućava napadačima da jednostavno preuzmu firmver sa TP-Link-ove službene web stranice, jer sve verzije firmvera sadrže istu ranjivost.

Jednom dobijen, firmver se može analizirati pomoću alata kao što je Binwalk ili specijalizovanog softvera za reviziju firmvera za izdvajanje sistema datoteka. Naredbe jednostavne kao cat passwd ili cat passwd.bak otkrivaju kredencijale potrebne za dobivanje root pristupa.

Za verifikaciju, napadači mogu pristupiti root shell-u putem komunikacije UART porta korištenjem naredbe za prijavu i unošenjem otkrivenih kredencijala, dajući im potpunu administrativnu kontrolu nad uređajem.

Ova ranjivost predstavlja višestruke ozbiljne prijetnje pogođenim korisnicima:

Napadači mogu modifikovati firmver, instalirati stalni backdoor i presresti sav mrežni saobraćaj koji prolazi kroz ruter. Jednom u ruteru, napadači mogu uspostaviti uporište za ciljanje drugih uređaja na istoj mreži.

Ako se kombinuju sa drugim ranjivostima kao što su nedostaci zaobilaženja autentifikacije (slično onima koji se nalaze u srodnim modelima kao što su TL-WR840N i TL-WR841N), napadači bi potencijalno mogli da izvrše ove napade daljinski.

Ublažavanja

Kako TP-Link još nije objavio sigurnosnu zakrpu koja se odnosi na CVE-2024-57040, korisnici pogođenih rutera trebali bi odmah poduzeti mjere opreza:

Ovo najnovije otkriće prati zabrinjavajući obrazac sigurnosnih problema u potrošačkim ruterima. Ranije ranjivosti poput zaobilaženja autentifikacije u modelima TL-WR840N/TL-WR841N (koji su napadačima omogućavali da zaobiđu autentifikaciju manipulisanjem Referer Header-a) naglašavaju tekuće sigurnosne izazove sa kojima se suočava oprema za kućno umrežavanje.

Izvor: CyberSecurityNews

Exit mobile version