Bilgisayar korsanları genellikle cihazları ve ağları internete bağlayan ağ geçitleri olarak yönlendiricileri hedefler.
Bunun yanı sıra, güvenlik güncellemeleri ve yamalar konusunda sıklıkla gözden kaçırıldıkları için tehdit aktörleri için kazançlı hedeflerdirler.
OneKey’deki siber güvenlik araştırmacıları yakın zamanda TP-Link Archer C5400X yönlendirici kusurunun saldırganların cihazları uzaktan hacklemesine olanak tanıdığını keşfetti.
Teknik Analiz
Araştırmacılar tarafından yapılan sıfır gün tanımlama özelliği, aşağıdakiler de dahil olmak üzere ürün yazılımındaki birden fazla güvenlik açığını ortaya çıkardı: –
- Komut enjeksiyonu
- Dizeyi kabukta biçimlendirme
- Arabellek taşmaları
Bu bulgular, Cisco gibi satıcıların diğer bulgularıyla birlikte, araştırmacıların donanım yazılımı külliyatında yapılan sıkı testlerden ve doğrulamalardan sonra açıklandı ve anlamlı analiz sonuçları sağlandı.
ANYRUN malware sandbox’s 8th Birthday Special Offer: Grab 6 Months of Free Service
TP-Link Archer C5400X’in kablosuz bir sistemin arayüzünü test eden en yeni dosyası, 8888-8890 TCP bağlantı noktalarında oturum açmadan herkes tarafından saldırıya uğrayabilecek bir ağ dinleyicisine sahiptir.
Güvenlik analistleri bu sorunun onlara cihaz sahibinden daha yüksek yetki verebileceğini söylüyor.
Ancak ikili dosyayı çalıştırmak ve göstermek her zaman aynı olmadığından TP-Link gerçek bir maruz kalma analizi sunmuştur.
Komut enjeksiyonunun temel nedeni, TCP bağlantı noktası 8888 yuvasından kullanıcı kontrollü girişi okumaktı.
TP-Link yönlendiricinin /etc/init.d/wireless betiği, önyükleme sırasında /sbin/wifi init’i çalıştırır; bu, /lib/wifi/tplink_brcm.sh dosyasını içe aktarır ve /usr/sbin/rftest başlatılmasıyla sonuçlanan bir işlev çağrısı ağacını tetikler.
Bu rfttest ikili dosyası, kullanıcı tarafından kontrol edilen girişi TCP bağlantı noktası 8888’den popen() çağrılarına yayar ve giriş “wl” içeriyorsa veya “nvram” ile başlıyorsa ve “get” içeriyorsa komut enjeksiyonunu etkinleştirir.
Rftest içindeki bu güvenli olmayan veri yayılımına yönelik güvenlik açığının temel nedeni, siber güvenlik analistleri tarafından belirlendi.
C5400X TP-Link, rftest ikili programıyla, “wl” veya “nvram get” ön ekine sahip komutları kabul eden 8888 numaralı bağlantı noktasında sunucu TCP’sini başlatır.
Ancak “;”, “&” ve “|” gibi kabuk meta karakterlerini atlayarak bu durumun üstesinden gelinebilir. Bu komut enjeksiyonuna yol açar.
Test, 8888 numaralı bağlantı noktasına bağlantı ve bir kimlik komutunun eklenmesi yoluyla uzaktan kod yürütmenin başarılı olduğunu ortaya çıkardı.
TP-Link, kullanıcıların yönlendiricinin yükseltme özelliği aracılığıyla yükseltme yapmasının teşvik edildiği 1_1.1.7 sürümünde bu güvenlik açığını giderdi.
Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers