С помощью особо сконфигурированного запроса атакующий может обнулить пароль администратора устройства.
Компания TP-Link исправила в некоторых моделях маршрутизаторов Archer опасную уязвимость , позволяющую злоумышленникам аннулировать пароль администратора и захватить контроль над устройством по LAN через Telnet. Проблема затрагивает маршрутизаторы Archer C5 V4, Archer MR200v4, Archer MR6400v4 и Archer MR400v3.
Для эксплуатации уязвимости атакующий должен отправить HTTP-запрос со строкой, содержащей большее число символов, чем разрешенное количество байтов. В результате пароль администратора аннулируется и заменяется пустым значением. Несмотря на наличие встроенного механизма валидации, вышеописанный способ все равно работает. Дело в том, что механизм проверяет только HTTP-заголовки реферера, и с помощью вшитого значения tplinkwifi.net атакующий может заставить сервис httpd маршрутизатора принять запрос как подлинный.
Поскольку администратор обладает на устройстве правами суперпользователя, обойдя процесс аутентификации, злоумышленник автоматически получит эти права и захватит полный контроль над маршрутизатором. Он сможет не только контролировать все процессы, но также блокировать легитимным пользователям возможность авторизации в web-сервисе через пользовательский интерфейс. В таком случае жертва потеряет доступ к консоли и даже к оболочке и не сможет сменить пароль.
Даже если владельцу маршрутизатора удастся установить новый пароль, злоумышленник снова аннулирует его с помощью запроса LAN/WAN/CGI. И наконец, автоматически перестанут работать ключи RSA, поскольку шифрование не работает с пустыми паролями.
Уязвимость обнаружил исследователь IBM X-Force Red Гжегож Випич (Grzegorz Wypych). Проблеме был присвоен идентификатор CVE-2019-7405.
Гравитация научных фактов сильнее, чем вы думаете