I ricercatori della sicurezza hanno identificato una vulnerabilità critica della sicurezza nel file TP-Link Router da gioco Archer C5400X, che potrebbe facilmente consentire esecuzione di codice remoto attraverso richieste appositamente predisposte.
Il difetto è stato rilevato come CVE-2024-5035, e gli viene assegnato il punteggio di gravità più alto possibile 10.0 dal sistema comune di punteggio delle vulnerabilità (CVSS). Tutte le versioni firmware fino alla 1_1.1.6 inclusa sono interessate dal difetto. Per fortuna, TP-Link ha risolto questo problema nella versione firmware 1_1.1.7, che è stato rilasciato a maggio 24, 2024.
CVE-2024-5035 Dettagli tecnici
Secondo una rapporto dalla società tedesca di sicurezza informatica ONEKEY, lo sfruttamento di CVE-2024-5035 consente agli aggressori remoti non autenticati di ottenere l'esecuzione arbitraria di comandi sul dispositivo preso di mira con privilegi elevati. La vulnerabilità deriva da un codice binario relativo ai test sulla radiofrequenza, conosciuto come “rftest,” che si avvia all'avvio e apre un ascoltatore di rete sulle porte TCP 8888, 8889, e 8890. Poco detto, questa esposizione consente agli aggressori remoti di eseguire codice sul dispositivo.
Il servizio di rete in questione è progettato per accettare comandi che iniziano con “wl” o “nvram ottieni.” Tuttavia, ONEKEY ha scoperto che gli aggressori possono facilmente aggirare questa restrizione semplicemente inserendo comandi dopo i metacaratteri della shell come ;, &, o |. Per esempio, un comando come “wl;id;” potrebbe sfruttare questa vulnerabilità.
Come viene risolto questo problema critico? Correzione di TP-Link nella versione 1_1.1.7 Build 20240510 risolve il problema scartando qualsiasi comando contenente questi caratteri speciali. Questa misura neutralizza efficacemente l’exploit, impedendo l'esecuzione di codice non autorizzato.
Contesto di sicurezza più ampio
Questa divulgazione fa seguito a recenti segnalazioni di vulnerabilità di sicurezza simili in altri dispositivi di rete. Alcuni notevoli difetti di sicurezza sono stati identificati anche nei router Ethernet industriali Delta Electronics DVW W02W2 (CVE-2024-3871) e dispositivi di rete Ligowave (CVE-2024-4999). queste vulnerabilità, come quello del TP-Link Archer C5400X, potrebbe consentire agli aggressori remoti di eseguire comandi con privilegi elevati. Sfortunatamente, questi dispositivi non vengono più mantenuti attivamente, lasciandoli senza patch e vulnerabili.
Raccomandazioni
Tutti gli utenti del router da gioco TP-Link Archer C5400X dovrebbero aggiornare immediatamente il proprio firmware alla versione 1_1.1.7 per mitigare CVE-2024-5035. Gli utenti dei dispositivi Delta Electronics e Ligowave interessati devono adottare misure per limitare l'esposizione delle interfacce di amministrazione per ridurre al minimo il potenziale di sfruttamento, dato che non verranno fornite patch.