Les chercheurs d'IBM viennent de découvrir une autre grave vulnérabilité zero-day, cette fois-ci un impact TP-Link Wi-Fi Extenders. La vulnérabilité (connu sous le nom de CVE-2019-7406) pourrait conduire à des attaques d'exécution de code à distance et affecte TP-Link modèles Wi-Fi Extender RE365, RE650, RE350 et RE500 exécutant la version firmware 1.0.2, construire 20180213.
En savoir plus sur la CVE-2019-7406
La vulnérabilité CVE-2019-7406 était découvert par le chercheur en sécurité Grzegorz Wypychmembers d'IBM X-Force. Dans le cas d'une attaque réussie, le virus de la RCE peut permettre l'exécution de commande arbitraire par l'intermédiaire d'un champ d'agent d'utilisateur HTTP malformées en-têtes.
En d'autres termes, un attaquant distant pourrait obtenir un contrôle complet sur le dispositif et commander avec les mêmes privilèges de l'utilisateur légitime du dispositif. La question est grave car elle affecte à la fois les propriétés de la maison et commercial où Extenders TP-Link Wi-Fi sont utilisés. Les extenseurs sont des dispositifs qui peuvent amplifier un signal Wi-Fi, et en tant que tels ont une large utilisation.
Le chercheur a exploité la vulnérabilité zero-day dans extender TP-Link RE365 Wi-Fi avec la version du firmware 1.0.2, construire 20180213 rel. 56309. Cependant, après des tests internes, TP-Link a confirmé que trois autres modèles sont également touchés: RE650, RE350 et RE500.
Ce qui est surtout surprenant CVE-2019-7406 est qu'il peut être exploitée par un attaquant distant sans nécessiter de connexion / authentification au dispositif d'extension du réseau Wi-Fi. Cela signifie que l'escalade de privilège n'est pas nécessaire, car extendeurs fonctionnent déjà avec un accès racine. Cette condition par défaut est assez risquée, car les attaquants peuvent effectuer un large éventail d'attaques.
“Le genre d'impact, on peut attendre d'un tel accès non authentifié est, par exemple, demandant au dispositif de naviguer à une commande de réseau de robots et le serveur de contrôle ou une zone d'infection,” le chercheur triste. “La pensée d'une infection Mirai sur les appareils IdO, bien sûr, l'une des premières choses qui viennent à l'esprit, où des scripts automatisés pourraient fonctionner en tant que root sur ce type d'un appareil si la vulnérabilité est exploitée.”
Il est fortement conseillé de réduire les risques causés par les CVE-2019-7406 en mettant en place des contrôles compensatoires ou un patch dès que l'on devient disponible, Wypychmembers conclu.