Hardware & Software Alert! TP-Link: Schadcode-Schmuggel durch Sicherheitslücke in Routern

In der Administrationsoberfläche des günstigen WLAN-Routers TL-WR841N versteckt sich eine Sicherheitslücke, die Angreifern die Ausführung eigenen Codes erlaubt. Forscher des vietnamesischen Telekommunikationsunternehmens Viettel haben einen Fehler gefunden, mit denen ein authentifizierter Angreifer Backdoors oder Würmer auf den Geräten installierten könnte. TP-Link hat Firmware-Updates bereitgestellt.

Hoch riskante Schwachstelle​

Mit einem Buffer Overflow in der Web-GUI (CVE-2022-30024, CVSS-Wert 8.8, Risiko "hoch") können sich authentifizierte Nutzer auf dem TP-Link TL-WR841N eine Backdoor verschaffen. Der Angriff richtet sich gegen einen Fehler der Parameterverarbeitung beim webbasierten Ping-Tool, das TP-Link zur Fehlersuche in der Router-Firmware eingebaut hat. Übergibt man diesem eine überlange Hostadresse, läuft ein interner Puffer über und erlaubt mit einigen Tricks die Ausführung beliebigen Codes wie einer Shell.

Da der Angriff nur von einem Nutzer ausgeführt werden kann, der in der Weboberfläche angemeldet ist, müssten für einen Exploit aus der Ferne einige zusätzliche Bedingungen erfüllt sein. Es ist aber denkbar, dass findige Botnet-Betreiber ihn in Verbindung mit anderen Attacken nutzen, um ihre IoT-Armee zu vergrößern.
In der Vergangenheit haben etwa Betreiber von Botnets wie Cyclops Blink derartige Schwachstellen in Routern mehrerer Hersteller angegriffen. Dort hatten die , um wenig später .

Die Forscher von Details zu den Schwachstellen und den Exploit vor. Demzufolge sind die Hardware-Revisionen V12 und älter betroffen. TP-Link hat den Fehler jedoch zur Stunde lediglich für Revision V12 behoben . Besitzer älterer Geräte schauen in die Röhre.
Quelle: heise