Zranitelnost v routerech TP-Link (CVE-2023-1389)
Zasa tu niektori trepu...zranitelnost bola uz aj na inych zariadeniach. Ubnt aj mikrotik ktory ma kazdy na sieti mal tiez problemy....ked to ma klient doma tak update fw aj tak nehrozi. Ta krabicka sa polozi na miesto a zije svojim zivotom roky dokedy neumre. No len nech tu niekto da adekvatny model k tplink c6. No neni, pretoze za tie peniaze to ma slusnu wifi a je to funkcne z krabice narozdiel od mikrotiku a pos kde musi clovem laborovat aby to na wifi rozumne chodilo. Co mame dalej? Asus? Proste ja potrebujem pre klienta vec ktoru rozbalim a ide a zaroven nestoji vela penazi. Koncovu cenu 50eur za dual band router gigabit vacsina klientov bez problemu da. Ale 100e za unifi a pod je problem.
Jo jo, v tp-linku reportovano, ceka se na hotfix
viktornovotny
no jsem zvědavý, jak budou rychlí. V prosinci 2022 jim oznámili, že je díra v AX21 a oni vydali hotfix v květnu. Takže se máme na co těšit.
midnight_man
Dokonce máme případ, kdy to malware infikoval z vnitřní sítě, protože ta zranitelnost funguje z obou stran. Je to největší diletantsví inženýrů v TP-Linku, protože když vidím takový průser u jednoho modelu, tak se zákonitě podívám, jestli to náhodou neafektuje i podobné moje výrobky, že jo...
midnight_man
vy přikazujete zákazníkům, co si připojí na veřejnou IP adresu? V rácmi síťové neutrality si zákazník zvolí koncové zařízení a zapojí. Co já si o tom myslím, je věc druhá.
Nenapsali jste jiz někdo script na identifikaci zranitelných (CVE-2023-1389) TP-Linku v síti?
Případně nějaký nápad jak spolehlivě identifikovat ty již napadené?
- Upraveno
Zatím stačí podle MAC adresy identifikovat, že je to TP-Link, podle všeho jsou ale alespoň proti tomuto CVE bezpečné jen opravdu staré modely jako WR543G, ale těch už je velmi málo. Každý výrobce má jednou za čas nějaký průser, tentokrát to holt prasklo na TP-Link. Za ty peníze jsou ty routery dobré až až, hlavně pokud výrobce v rozumné době opraví tuto megadíru.
- Upraveno
curl -k -d @curl.payload -X POST "https://$1/cgi-bin/luci/;stok=/locale?form=country" -A "python-requests/2.21.0" -H 'Content-Type:' -H "Accept-Encoding: gzip, deflate" -H "Connection: keep-alive"
U těch které jsme měli napadené curl vrátí:
{"data":""}
Ale teda nepodařilo se mi spustit vlastní kód.
Detekce jde dělat podle počtu spojení. A u nás (ale tohle se asi může lišit) všechny útoky jdou z SRC PORT 80. Tím se celkem jednoduše z netflow uděla TOP statistika na základě SRC IP.
- Upraveno
gemb Tahle diskuze je věčná. To je sakra takový problém lidem vysvětlit, že k mobilům za 20k a notebookům za dalších 20k je prostě totální kravina pořizovat čínský krám za tisícovku? 100 Eur za Unifi prostě velký problém být nemůže, lepší jednou za 5-10 let koupit Unifi než kupovat každé 2-3 roky nový levný krám. 99% lidí kterým jsem tohle vysvětlil už ta cena Unifi nepřišla nijak strašná. Nejsme tak bohatí, abychom si mohli dovolit kupovat levné věci.
Já dávám do nenáročných domácností posledních několik let lepší ASUSy (dřív RT-AC66U/RT-AC68U, teď RT-AX56U/RT-AX58U aj. ) a musím zaklepat, problémy s tím prostě žádné nejsou. Wifi funguje parádně, SW podpora super (používám Merlin a jednou za čas všechny routery postupně aktualizuji), má to bezvadně fungující VPN (jak OpenVPN tak už teď i Wireguard), ani jednou jsem nemusel řešit napadnutí, a to jsou mnohé na veřejkách. Lze tam i dobře nastavit VPN klienty s policy routingem, abych mohl mít sítě za nimi přístupné z centrálního místa i tam kde jsou routery za NATem.
Do byť jen trochu náročnějších domácností a malých firem mám léty ověřenou kombinaci pfSense boxu + Unifi, to funguje parádně.
- Upraveno
Asi si dnes sedím na vedení...
Warning: Couldn't read data from file "curl.payload", this makes an empty
Warning: POST.Jsem se možná špatně vyjádřil. Ten string mi vrátí jakákoliv C6, i nenapadená.
U EX a EC modelů mi vrátí nějakou chybu 403, 500 atd... Ale teda musím říct, že tyto modely jsem u nás zatím napadené neviděl. Vše co jsme měli bylo C6, AX23, AX50.
TP-link co se týče zranitelných modelů zatím neodpověděl.
... workaround kolem toho byla změna povolené remote ip a tím se to tomu curlu zavřelozda se, ze ISP verze s agile firmware jsou v pohode, problem maji retailove verze.