Bilgisayar korsanları, sistem üzerinde tam kontrol kazanmak için TP-Link yönlendiricilerindeki, özellikle TL-WR845N modelinde bir güvenlik açığından yararlanır.
Bu istismar, yetkisiz kullanıcıların kök kabuğu kimlik bilgilerine erişmesine izin vererek yönlendiriciyi manipüle etmek ve kontrol etmek için sınırsız erişim sağlar.
Etkilenen ürünün ve güvenlik açığının nasıl kullanılabileceğinin bir özeti:
Etkilenen ürün detayları
| Ürün bilgileri | Detaylar |
| Üretici | TP-Link |
| Model | TL-WR845N |
| Etkilenen ürün yazılımı sürümleri | TL-WR845N (UN) _V4_190219, TL-WR845N (UN) _V4_200909, TL-WR845N (UN) _V4_201214 |
| Güvenlik açığı sömürüldü | Zayıf kök kabuğu kimlik bilgileri |
Güvenlik açığı, bilgisayar korsanlarının kök kabuk kimlik bilgilerini yönlendiricinin ürün yazılımından çıkarmasına olanak tanır.
Ürün yazılımı, yönlendiricinin SPI flash belleğine fiziksel olarak erişilerek veya TP-Link’in resmi web sitesinden indirilerek elde edilebilir.
Çıkarıldıktan sonra, ürün yazılımını analiz etmek ve dosyaları çıkarmak için Binwalk veya Firmaudit gibi araçlar kullanılabilir.
Kök şifre, squashfs-root/etc/passwd ve squashfs-root/etc/passwd.bak dosyalarında MD5 karma formatında saklanır.
Bu karma şifre, şifreyi “1234” olarak ortaya çıkarmak için Hashcat veya Ripper gibi araçlar kullanılarak kolayca kırılabilir. “Yönetici” kullanıcı adı düz bir metinde saklanır.
Güvenlik açığından yararlanmak için adımlar
- Ürün yazılımı elde edin: Firmware’i SPI Flash Memory aracılığıyla alın veya resmi web sitesinden indirin.
- Dosyaları Çıkar: Ürün yazılımından dosyaları çıkarmak için Binwalk gibi araçları kullanın. Komut: $ binwalk -e firmware.bin
- Erişim Kimlik Bilgileri: Squashfs-Root/ETC dizinine gidin ve passwd ve passwd.bak dosyalarını bulun.
- Kimlik bilgilerini ortaya çıkarın: Kullanıcı adını ve karma şifreyi görüntülemek için $ cat passwd veya $ cat passwd.bak gibi komutları kullanın.
- Çatlak şifre: “1234” olarak ortaya çıkan MD5 Haşhed şifresini kırmak için Hashcat veya Ripper John gibi araçları kullanın.
- Kimlik bilgilerini doğrulayın: Oturum açma komutunu girerek ve kullanıcı adı ve şifreyi sağlayarak kimlik bilgilerini doğrulamak için UART bağlantı noktası iletişimini kullanın.
Bu güvenlik açığı, kötü niyetli aktörlerin yönlendirici üzerinde tam kontrol sahibi olmasına izin verdiği için önemli riskler oluşturmaktadır, bu da potansiyel olarak yetkisiz erişim, veri hırsızlığı ve hatta kötü amaçlı yazılımların yayılmasına yol açar.
Öneriler:
- Kullanıcılara güncellenmiş bir sürüm mevcut olursa, ürün yazılımlarını güncellemeleri tavsiye edilir.
- Güçlü şifrelerin kullanılması ve WPA3 şifrelemesini etkinleştirme gibi sağlam güvenlik uygulamalarını uygulayın.
- Şüpheli davranışlar için yönlendirici aktivitesini düzenli olarak izleyin.
Bu istismar, yönlendirici ürün yazılımını düzenli olarak güncellemenin ve ağlarda güçlü güvenlik protokollerinin korunmasının önemini vurgulamaktadır.
Kullanıcılar, cihazlarını benzer güvenlik açıklarından korumak için uyanık kalmalı ve en iyi uygulamaları benimsemelidir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.