Los investigadores de IBM acaban de descubrir otra grave vulnerabilidad de día cero, esta vez impactando TP-Link Wi-Fi extensores. La vulnerabilidad (conocida como a CVE-2019-7406) podría dar lugar a ataques de ejecución remota de código y afecta TP-Link Wi-Fi Extender modelos RE365, RE650, RE350 y RE500 que ejecuta la versión de firmware 1.0.2, construir 20180213.
Más acerca a CVE-2019-7406
La vulnerabilidad CVE-2019-7406 era descubierto por el investigador de seguridad Grzegorz Wypychmembers de IBM X-Force. En caso de un ataque con éxito, el error RCE podría permitir la ejecución de comandos arbitrarios a través de un campo con formato incorrecto agente de usuario en las cabeceras HTTP.
En otras palabras, un atacante remoto podría obtener el control completo sobre el dispositivo y el mando con los mismos privilegios de usuario legítimo del dispositivo. El problema es grave, ya que afecta a las propiedades tanto de la casa y comercial donde se utilizan extensores de TP-Link Wi-Fi. Los extensores son dispositivos que pueden amplificar una señal Wi-Fi, y como tales tienen un uso amplio.
El investigador explotó la vulnerabilidad de día cero en el extensor de TP-Link RE365 Wi-Fi con la versión de firmware 1.0.2, construir 20180213 rel. 56309. Sin embargo, después de la prueba interna, TP-Link confirmó que otros tres modelos también se ven afectados: RE650, RE350 y RE500.
Lo que es sobre todo sorprendente de CVE-2019-7406 es que puede ser explotada por un atacante remoto sin necesidad de conectar / autentificación al dispositivo adaptador Wi-Fi. Esto significa que no se requiere la elevación de privilegios, porque extensores ya se ejecutan con acceso a nivel de raíz. Esta condición por defecto es bastante arriesgada, ya que los atacantes pueden realizar una amplia gama de ataques.
“El tipo de impacto que se puede esperar de dicho acceso no autenticado es, por ejemplo, solicitando el dispositivo para navegar a un servidor de comando y control de botnets o una zona de la infección,” el investigador triste. “La idea de una infección Mirai en los dispositivos de la IO es, por supuesto, una de las primeras cosas que vienen a la mente, donde los scripts automatizados podrían potencialmente ejecutar como root en este tipo de un dispositivo si se explota la vulnerabilidad.”
Es altamente recomendable para mitigar el riesgo causado por CVE-2.019-7406 mediante la implementación de controles de compensación o un parche tan pronto como haya uno disponible, Wypychmembers concluyó.