Összefoglaló 2018-10-04

TP-Link Home WiFi Router azonosítás megkerülési sérülékenysége

2018-10-3

TP-Link Home WiFi Router Authentication Bypass Vulnerability

CVE-2018-11714, CVE-2018-15702

A Tenable kiberbiztonsággal foglalkozó cég egy figyelmeztetést adott ki egyes TP-Link Home Wifi routereket érintő sérülékenységekről. A sérülékenységeket kihasználva a támadó át tudja venni a router felügyeletét, módosítani tudja a router beállításait, újra tudja indítani.

Az egyik sérülékenységet a BlackFog csoport fedte fel még májusban (CVE-2018-11714). Ez a sérülékenység lehetőséget ad a támadónak, hogy hitelesítés nélkül parancsokat adhasson ki a router menedzsment funkcionalitását biztosító interfésznek.

Ez a sérülékenység csak adott hardver és firmware verzió összeállításokat érint:

Hardwarer: TL-WR841N v13 00000013
Firmvware Version: 0.9.1 4.16 v0001.0 Build 170622 Rel.64334n

és

Hardware: TL-WR840N v5 00000005
Firmware Version: 0.9.1 3.16 v0001.0 Build 170608 Rel.58696n

A sérülékenység úgy használható ki, hogy a HTTP kapcsolat fejlécébe el kell helyezni a „Referer: http://192.168.0.1/mainFrame.htm” elemet, aminek hatására a router úgy érzékeli, mintha a parancsot a routeren belülről (tehát egy magát hitelesített adminisztrátor által kiadva) kapta volna és ellenőrzés nélkül végrehajtja az utasítást. A router IP címe helyett a "tplinklogin.net" vagy "tplinkwifi.net" domain nevek is szerepelhetnek, mert azok automatikusana a router IP címéhez vannak hozzárendelve, így ha megváltoztatnánk a router belső hálózaton lévő IP címét, akkor is sikerrel járna a támadás.

Önmagában ez ellen a sérülékenység ellen elegendő megelőző intézkedést jelent, ha nem engedélyezzük illetve csak adott IP címekre korlátozzuk a menedzsment interfész elérését a külső hálózat felől, miközben feltételezzük, hogy a belső hálózat felől nem akarják támadni az eszközt. (Alapértelmezésben a menedzsment felület elérése a külső hálózatról tiltott.)

Egy második, október 3-án publikált CSRF (cross-site request forgery) sérülékenység szerint (CVE-2018-15702) nem szükséges a routert a külső hálózat felől elérni, hanem elég ha a belső hálózaton lévő gép eléri. (Az NVD-ben még analízis alatt van. https://nvd.nist.gov/vuln/detail/CVE-2018-15702) Ezt a sérülékenységet az teszi lehetővé, hogy a TP-Link router rossz szövegfelodási mechanizmusa miatt a Referer mezőben a tplinklogin.net vagy tplinkwifi.net szöveggel kezdődő szöveget is elfogadja és hitelesítettnek veszi a kommunikációt. Pl. http://tplinklogin.net.xml-feed.com vagy http://tplinkwifi.net.xml-feed.com vagy http://tplinklogin.net.aaa.bbb.stb.hu.

A felhasználónak elegendő egy fertőzött/preparált weboldalt meglátogatnia, amely aztán a felhasználó böngészőjén a CSRF hibán keresztül az azonosítási és szöveg feloldási sérülékenységet kihasználva már eléri a routert, lecserélheti a konfigurációt, beállíthatja, hogy az eszköz elérhető legyen az Interneten és akár az adminisztrátori jelszót is megváltoztathatja.

A sérülékenység úgy használható ki távolról, hogy ha létrehozunk egy weboldalta aminek URL-je “http://tplinkwifi.net” vagy “http://tplinklogin.net”-el kezdődik. Az innen indított kéréseket a router hitelesítettnek tekinti. Egy ilyen, a támadó által üzemeltetett oldal felhasználható arra, hogy bármely weblapról referenciát szolgáltasson a támadáshoz.

A megoldás a “tplinkwifi.net*” és “tplinklogin.net*”-re illeszkedő összes domain szűrése DNS-ből. Ez a szolgaltató oldalárlól nézve csak akkor megoldás ha a felhasználó a szolgáltató DNS szerverét használja.

A TP-Link eddig még nem adott ki javítást a sérülékenység elhárítására.

További információk megtalálhatók az alábbi linkeken: