03.12.2019
Уязвимость в роутерах TP-Link (CVE-2019-17147)
Внимание! Потенциально очень неприятная уязвимость в роутерах TP-Link (CVE-2019-17147)
В открытом доступе появился эксплойт на уязвимость, нацеленный на довольно популярную у домашних пользователей и у малого/среднего бизнеса модель роутера TP-Link TL-WR841N. В скором времени данный эксплойт может быть использован при распространении ботнетов (для примера смотрите наше исследование по ботнету Mirai — https://amonitoring.ru/article/mirai_report/).
Уязвимость обнаружена в веб-службе, которая по умолчанию прослушивает TCP-порт 80. При синтаксическом анализе заголовка запроса хоста процесс неправильно проверяет длину предоставленных пользователем данных, прежде чем копировать их в статический буфер фиксированной длины. Злоумышленник может использовать эту уязвимость для выполнения кода с правами администратора на уязвимом устройстве.
Меры противодействия:
- Обновить версию прошивки устройства с сайта производителя (в версии прошивки для РФ уязвимость ещё не исправлена. Ссылка дана на прошивку для американского сегмента с пропатченой уязвимостью — https://www.tp-link.com/us/support/download/tl-wr841n/#Firmware)
- Обновить базу решающих правил для ViPNet IDS NS (sid: 3072715: AM Exploit TP-LINK TL-WR841N Web Service Buffer Overflow Remote Code Execution Vulnerability).
Источник — https://www.zerodayinitiative.com/advisories/ZDI-19-992/
В открытом доступе появился эксплойт на уязвимость, нацеленный на довольно популярную у домашних пользователей и у малого/среднего бизнеса модель роутера TP-Link TL-WR841N. В скором времени данный эксплойт может быть использован при распространении ботнетов (для примера смотрите наше исследование по ботнету Mirai — https://amonitoring.ru/article/mirai_report/).
Уязвимость обнаружена в веб-службе, которая по умолчанию прослушивает TCP-порт 80. При синтаксическом анализе заголовка запроса хоста процесс неправильно проверяет длину предоставленных пользователем данных, прежде чем копировать их в статический буфер фиксированной длины. Злоумышленник может использовать эту уязвимость для выполнения кода с правами администратора на уязвимом устройстве.
Меры противодействия:
- Обновить версию прошивки устройства с сайта производителя (в версии прошивки для РФ уязвимость ещё не исправлена. Ссылка дана на прошивку для американского сегмента с пропатченой уязвимостью — https://www.tp-link.com/us/support/download/tl-wr841n/#Firmware)
- Обновить базу решающих правил для ViPNet IDS NS (sid: 3072715: AM Exploit TP-LINK TL-WR841N Web Service Buffer Overflow Remote Code Execution Vulnerability).
Источник — https://www.zerodayinitiative.com/advisories/ZDI-19-992/
