TP-Link Archer, Deco ve Tapo serisi yönlendiricilerde, potansiyel olarak saldırganların kötü amaçlı komutlar yerleştirmesine ve etkilenen cihazların güvenliğini tamamen ihlal etmesine olanak tanıyan kritik bir sıfır gün güvenlik açığı keşfedildi.
4 Kasım 2024’e kadar hem eski hem de yeni donanım yazılımı sürümlerinde mevcut olan bu güvenlik açığı, bu popüler yönlendirici modellerinin kullanıcıları için önemli güvenlik endişelerini vurguluyor.
Güvenlik açığı ilk olarak AXE75 yönlendiricinin 2023 tarihli eski bir aygıt yazılımı sürümünde tespit edildi, ancak daha ileri araştırmalar, en son aygıt yazılımı sürümünde de bu güvenlik açığının varlığını ortaya çıkardı.
Güvenlik araştırmacıları bu güvenlik açığını analiz etmek ve yararlanmak için çeşitli teknikler kullandılar: –
- Firmware Edinimi: TP-Link’in ürün yazılımı halka açık ve şifrelenmemiştir; bu da diğer satıcılara kıyasla daha kolay analiz yapılmasını kolaylaştırır.
- Tersine Mühendislik: Araştırmacılar, binwalk gibi araçları kullanarak aygıt yazılımının içeriğini çıkardı ve yönlendiricinin dosya sistemi yapısını ve temel bileşenlerini ortaya çıkardı.
- Emülasyon: Yönlendiricinin web ağ geçidi, fiziksel donanım olmadan hedeflenen güvenlik açığı değerlendirmesine olanak tanıyan “qemu-arm-static” kullanılarak taklit edildi.
- Güvenlik Açığı Tespiti: Araştırmacılar, Lua komut dosyalarında belirli sistem yürütme işlevlerini arayarak potansiyel güvenlik zayıflıklarını belirlediler.
Kritik kusur, ironik bir şekilde, cihazı korumayı amaçlayan Avira antivirüs yazılımının bir parçası olan avira.lua dosyasında keşfedildi.
ThottySploity araştırmacıları, güvenlik açığının “tmp_get_sites” işlevinde yattığını, buradaownerId değişkeninin uygun temizleme veya doğrulama yapılmadan os.execute işlevine aktarıldığını belirledi.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Sömürü
Araştırmacılar, “/admin/smart_network” uç noktası aracılığıyla güvenlik açığını hedefleyen bir istismar geliştirdi.
Saldırganlar,ownerId parametresini değiştirerek kötü amaçlı komutlar enjekte edebilir ve bunları etkilenen yönlendiricilerde kök ayrıcalıklarıyla çalıştırabilir. Bu, “/etc/passwd” ve “/etc/shadow” gibi hassas dosyaların dökümü gibi eylemlere izin verir.
Güvenlik açığı, 3 Ekim 2024’te keşfedilmesinin ardından sorumlu bir şekilde TP-Link’e bildirildi. Açıklama zaman çizelgesindeki önemli olaylar şunları içerir:
- 10 Ekim 2024: TP-Link ile temasa geçildi ve güvenlik açığını analiz etmeye başladı.
- 8 Kasım 2024: TP-Link, güvenlik açığını kabul etti ve sabit bir beta ürün yazılımı sürümü sağladı.
- 23 Kasım 2024: MITRE bu güvenlik açığı için CVE-ID 2024-53375’i ayırdı.
Bu güvenlik açığını azaltmak için TP-Link, metin enjeksiyonunu önlemek amacıyla Lua’daki tonometre işlevini kullanmak gibi,ownerId değişkeni için uygun giriş temizleme işlemini uygulamalıdır.
Bu keşif, ağ cihazı donanım yazılımı alanında sürekli güvenlik denetiminin ve sorumlu açıklamanın öneminin altını çiziyor.
Etkilenen TP-Link yönlendiricilerinin kullanıcılarının, bu güvenlik açığından yararlanma olasılığına karşı koruma sağlamak için yamalar hazır olur olmaz ürün yazılımlarını güncellemeleri önerilir.
Analyse Advanced Malware & Phishing Analysis With ANY.RUN Black Friday Deals : Get up to 3 Free Licenses.