Zranitelnost v routerech TP-Link (CVE-2023-1389)

kubajz

Ahoj, od pátku pozorujeme v síti DDoS z domácích routerů TPlink z portu 300 a 8085 (takže technicky vzato asi z jakéhokoliv). Zatím vím, že se to týká routerů TP-Link AX10, AX20, C2. Aktuální firmware to neřeší. Trigger přichází zvenku, zatím jsme to viděli jen na routerech s veřejnou IP adresou. Je to schopné saturovat z routeru i více než 500 Mbit a vygenerovat to přes 130 tisíc pps.

Někdo viděl něco podobného?

rad77

kubajz

na nasej sieti prave prebieha masivny utok 6 milionov paketov, napadnute su ARCHER c6 v3.2 aktualizacia na 1.0.16 (novu 20 sme neskusali) pomaha a vyriesi problem.

jedna C6 vyraba 600mbps a 20.000pps, masaker.

kubajz

vektor útoky je takový, že zařízení co chvíli střídá port, ze kterého útok probíhá a stejně tak modifikuje cílový port a IP, což stěžuje blokování a identifikaci.

Nicméně protože zkouší na cílovém stroji náhodně porty, většina TCP spojení skončí s jedním paketem. Vyfiltrovat tedy adresy s anomálním počtem jednopaketových spojení není až tak těžké.

Workaroundem v tuto chvíli je přesunout zařízení na neveřejnou IP adresu + zásadně vypnout remote management, dokud se neobjeví nový patchovaný firmware.

kubajz

Tak jsem přišel na to, že je to CVE-2023-1389 - jen TP-Link je líný se podívat, jaké modely jsou tím dotčené a opravil firmware pouze pro AX21. Právě jsem vyzkoušel, že AX20 a AX10 jsou bez šance a dají se ovládnout opravdu jediným pitomým POST requestem.

jnikles

kubajz Router je napadnutelný i když je administrace omezena na jednu adresu? Nebo to necháváte bez omezení?

zdeneksvarc

Condi DDoS Botnet ("varianta Mirai")

wwire

Hledal jsem a je možné, že to afektuje i ostatní AX1800 routery vč. ISP programu?

kubajz

wwire
bohužel už je více než jasné, že se to týká prakticky všeho, co je "Archer". Fakt debilové v tom TPLinku

myghael

Zkusil jsem to na EC230 a EC225, tedy ISP verze Archer C5 / C6, i s posledním dostupným firmwarem jsou zranitelné.

jcltm

myghael No fakt příjemné tohle... Ještě že jsem se všude už Teplých linků zbavil. Tohle je dost důrazné varování nedávat tyhle čínské krámy bez SW podpory na veřejky.

midnight_man

chlapi....to fakt tieto kramy ma niekto na verejkach? .....

kmotrik

midnight_man
bohužel a dost. Dva ispici v mém městě používají TP-Linky primárně.

Jeden je používá protože to je levný a druhý protože to umí nakonfigurovat i gibon.

kubajz

midnight_man
Dokonce máme případ, kdy to malware infikoval z vnitřní sítě, protože ta zranitelnost funguje z obou stran. Je to největší diletantsví inženýrů v TP-Linku, protože když vidím takový průser u jednoho modelu, tak se zákonitě podívám, jestli to náhodou neafektuje i podobné moje výrobky, že jo...

kubajz

midnight_man
vy přikazujete zákazníkům, co si připojí na veřejnou IP adresu? V rácmi síťové neutrality si zákazník zvolí koncové zařízení a zapojí. Co já si o tom myslím, je věc druhá.

peckma

kmotrik

A co doporučujete dávat ke klientům v dnešní době? Tak aby to mělo slušnou wifi a nestálo to nesmysl?

gemb

Zasa tu niektori trepu...zranitelnost bola uz aj na inych zariadeniach. Ubnt aj mikrotik ktory ma kazdy na sieti mal tiez problemy....ked to ma klient doma tak update fw aj tak nehrozi. Ta krabicka sa polozi na miesto a zije svojim zivotom roky dokedy neumre. No len nech tu niekto da adekvatny model k tplink c6. No neni, pretoze za tie peniaze to ma slusnu wifi a je to funkcne z krabice narozdiel od mikrotiku a pos kde musi clovem laborovat aby to na wifi rozumne chodilo. Co mame dalej? Asus? Proste ja potrebujem pre klienta vec ktoru rozbalim a ide a zaroven nestoji vela penazi. Koncovu cenu 50eur za dual band router gigabit vacsina klientov bez problemu da. Ale 100e za unifi a pod je problem.

jcltm

gemb Tahle diskuze je věčná. To je sakra takový problém lidem vysvětlit, že k mobilům za 20k a notebookům za dalších 20k je prostě totální kravina pořizovat čínský krám za tisícovku? 100 Eur za Unifi prostě velký problém být nemůže, lepší jednou za 5-10 let koupit Unifi než kupovat každé 2-3 roky nový levný krám. 99% lidí kterým jsem tohle vysvětlil už ta cena Unifi nepřišla nijak strašná. Nejsme tak bohatí, abychom si mohli dovolit kupovat levné věci.
Já dávám do nenáročných domácností posledních několik let lepší ASUSy (dřív RT-AC66U/RT-AC68U, teď RT-AX56U/RT-AX58U aj. ) a musím zaklepat, problémy s tím prostě žádné nejsou. Wifi funguje parádně, SW podpora super (používám Merlin a jednou za čas všechny routery postupně aktualizuji), má to bezvadně fungující VPN (jak OpenVPN tak už teď i Wireguard), ani jednou jsem nemusel řešit napadnutí, a to jsou mnohé na veřejkách. Lze tam i dobře nastavit VPN klienty s policy routingem, abych mohl mít sítě za nimi přístupné z centrálního místa i tam kde jsou routery za NATem.
Do byť jen trochu náročnějších domácností a malých firem mám léty ověřenou kombinaci pfSense boxu + Unifi, to funguje parádně.

viktornovotny

Jo jo, v tp-linku reportovano, ceka se na hotfix

kubajz

viktornovotny
no jsem zvědavý, jak budou rychlí. V prosinci 2022 jim oznámili, že je díra v AX21 a oni vydali hotfix v květnu. Takže se máme na co těšit.

JanK

Nenapsali jste jiz někdo script na identifikaci zranitelných (CVE-2023-1389) TP-Linku v síti?
Případně nějaký nápad jak spolehlivě identifikovat ty již napadené?

kubajz

JanK ty infikované se identifikují těžko, protože útočník tam může spustit cokoliv. My tam máme brouka, co se maskuje jako /bin/watchdog. Killall -9 watchdog to vypne. Jinak sysupgrade -c umozni ulozeni modifikovanych konfiguracnich souboru. Takze je mozne zmenit i volby, ktere pres remote management nejde zmenit.

myghael

Zatím stačí podle MAC adresy identifikovat, že je to TP-Link, podle všeho jsou ale alespoň proti tomuto CVE bezpečné jen opravdu staré modely jako WR543G, ale těch už je velmi málo. Každý výrobce má jednou za čas nějaký průser, tentokrát to holt prasklo na TP-Link. Za ty peníze jsou ty routery dobré až až, hlavně pokud výrobce v rozumné době opraví tuto megadíru.

Hrnicek

jnikles
podle toho co jsem vysledoval, tak update FW opravdu ničemu nepomůže, ovšem napadeny jsou podle všeho jen routery, které mají remote control IP adresu neomezenou. Ty, které mají specifickou IP zatím vypadají útokem nezasaženy.

Další stránka »