HomeFeaturedFocusUn bug trivial expune routerele TP-Link Archer la conectarea fara parola
FocusSecuritate

Un bug trivial expune routerele TP-Link Archer la conectarea fara parola

Ionuţ Bălan
By Ionuţ Bălan
1
Un bug din firmware-ul mai multor router-e TP-Link Archer permite conectarea de la distanță fără user și parolă, expunând router-ul la atacuri remote.
Un bug din firmware-ul mai multor router-e TP-Link Archer permite conectarea de la distanță fără user și parolă, expunând router-ul la atacuri remote.

Mai multe router-e TP-Link din seria Archer au o vulnerabilitate ce permite unui atacator să se conecteze de la distanță fără să cunoască contul de adminstrator și parola. E posibil printr-o conexiune Telnet prin LAN și nu e nevoie decât de trimiterea unui request HTTP care să fie cu un singur caracteri mai mare decât numărul maxim de baiți permiși, rezultatul fiind faptul că nu e mai ține cont de user și parolă pentru autentificare.

Este o greșeală de începători de pe urma căreia utilizatorii nu ar fi trebuit să sufere. Vulnerabilitatea în cauză a fost descoperită de Grzegorz Wypych din cadrul IBM X-Force Red.

Atacul funcționează în ciuda validării existente, pentru că se verifică doar header-ul HTTP, permițând atacatorului să păcălească serviciul httpd și să îl forțeze să accepte request-ul prin folosirea valoarea tplinkwifi.net.

Vulnerabilitatea  CVE-2019-7405 este marcată ca fiind critică și afectează router-ele Archer C5 V4, Archer MR200v4, Archer MR6400v4 și Archer MR400v3.

TP-Link a publicat deja patch-urile pentru firmware-urile router-elor afectate, așa că dacă aveți vreunul dintre modelele de mai sus faceți bine și puneți rapid noile firmware-uri:

Vulnerable TP-Link routerSecurity patch
Archer C5 V4https://static.tp-link.com/2019/201909/20190917/Archer_C5v4190815.rar
Archer MR200v4https://static.tp-link.com/2019/201909/20190903/Archer%20MR200(EU)_V4_20190730.zip
Archer MR6400v4https://static.tp-link.com/2019/201908/20190826/Archer%20MR6400(EU)_V4_20190730.zip
Archer MR400v3https://static.tp-link.com/2019/201908/20190826/Archer%20MR400(EU)_V3_20190730.zip

Că tot am avut zilele acestea niște discuții aprinse pe marginea ”calității” și ”fiabilității” router-elor TP-Link, mult lăudate pe la noi prin țară, mai ales din prisma prețului.

Apropo, pe pagina oficială pentru Archer C5 firmware-ul nu este încă publicat.

Gândiți-vă bine când vă alegeți un router dacă vreți să luați modele despre care știți că mai devreme sau mai târziu se vor descoperi vulnerabilități critice și nu aveți chef să stați mereu cu ochii pe site-ul de update.

via BP

UPDATE: Pagina în limba română a TP-Link are acum publicat aici link-ul oficial pentru update-ul de firmware pentru Archer C5 v4. Vă recomand să îl folosiți ca să vă descărcați noua versiune și să o instalați.

Ionuţ Bălan
Ionuţ Bălanhttps://www.mobzine.ro
Gadget enthusiast. Ruby Developer. Security addict. IT industry analyst. Reviewer & speaker.
Articol precedent
Huawei Mate 30 Pro 5G devine campionul DxOMark in ceea ce priveste calitatea pozelor
Urmatorul articol
Huawei P Smart Pro prezentat oficial, disponibil deja in Europa

ARTICOLE SIMILARE

1 COMENTARIU

LASA UN COMENTARIU

Scrie comantariul
Introdu numele

CAPTCHA

*

MobileDirect.ro

Comentarii recente

Ionuţ Bălan in Tutorial: cum instalezi Android Auto in Romania
Cosmin in Tutorial: cum instalezi Android Auto in Romania
Ionuţ Bălan in Faceți cunoștință cu Devin, primul inginer software AI, cel care o să vă ia locul de muncă!
ionică in Faceți cunoștință cu Devin, primul inginer software AI, cel care o să vă ia locul de muncă!
Ionuţ Bălan in Tutorial: cum inregistrezi (programat) emisiunile TV pe un smart TV LG cu webOS

Recomandare

Bigstep

MOBzine.ro este un proiect pornit din pasiune pentru gadget-uri si vine in prelungirea muncii noastre de peste 10 ani din redactia revistei CHIP.

ionut @ mobzine.ro

Colaborari

  • EVmagazine
    •
  • CADzone
    •
  • MobileDirect
    •
  • TechTime
    •

    Follow us