Zranitelnost v routerech TP-Link (CVE-2023-1389)

kubajz · 2023-08-26T19:36:28+00:00

Ahoj, od pátku pozorujeme v síti DDoS z domácích routerů TPlink z portu 300 a 8085 (takže technicky vzato asi z jakéhokoliv). Zatím vím, že se to týká router...

johnyboi

U nas to kontroluje pres src 9511, z flowmonu jsem vytahl nejakych 5ks IP controlleru a zahodil. Uvidime jak rychle se to preprogramuje 🙂

ip firewall address-list
add address=159.65.27.199 list=Condi-DDoS-Botnet-controllers
add address=167.172.160.146 list=Condi-DDoS-Botnet-controllers
add address=170.64.150.59 list=Condi-DDoS-Botnet-controllers
add address=64.227.129.12 list=Condi-DDoS-Botnet-controllers
add address=79.110.48.149 list=Condi-DDoS-Botnet-controllers

/ip firewall filter
add action=drop chain=forward protocol=tcp src-address-list=Condi-DDoS-Botnet-controllers src-port=9511

JanK

johnyboi
Muzete nekdo dalsi, kdo ma tez nejake infikovane TP-LINKy v siti, potvrdit, ze komunikace s C&C botnetu Condi probiha z portu 9511? Obavam, ze ze ten port bude volen nahodne.

kubajz

JanK ta obava je správná

RandomUser

Na Archer C6 vyšla aktualizace. Máte někdo prosím info jestli opravuje tuhle chybu?

viktornovotny

RandomUser kdy vysla aktualizace na C6 ?

crazyape

My máme těchto routerů na veřejkách hadám tak stovky ks ale nepozoruji žádný problém. Není to tím že mám webmanagement na jiném než default portu a tento port blokovaný v celé síti z internetu dovnitř na centrálním routeru ?

miract

Vypozoroval jsem, že je zranitelnost pouze u novějších routeru, které mají management na WAN portu přes https(z http se dělá redirect na https).

Můžete mi prosím tuto domněnku někdo vyvrátit? Děkuji.

crazyape

miract ja mam HTTP na 8181 ktery je vyblokovany zvenku do naší sítě a https na default portu a remote povoleny pouze z jedne ip adresy a zatim se mi to neděje

kubajz

miract
Samozřejmě pro útočníka je složitější najít router, co má zakázaný ping na WAN a management na jiném portu a nejspíš to dělat nebude, ale spolehnout se na to nedá. Máme i zákazníka, u nějž to aktivoval malware z vnitřní sítě, protože venkovní management měl vypnutý. A taky máme infikovaný router, kterému běžel remote management na 8080 a 8443. Takže často používané porty asi v bezpečí úplně nejsou.

kubajz

Když už si uděláte remote shell do zákazníkova zařízení, tak lze spoustit wget nového firmware a sysupgrade.
U routerů AX10 je od června dostupný firmware, který to fixuje (1.3.8 a nověji i 1.3.9). Na AX20 má vyjít každým dnem.

RandomUser

viktornovotny na C6 v3.2 mi to bliklo dneska. Včera odpoledne tam ještě nový FW nebyl.
[EDIT]: Aktualizace je pouze na v3.2. v2 ani v4 nový FW nemají.

kubajz

JanK ty infikované se identifikují těžko, protože útočník tam může spustit cokoliv. My tam máme brouka, co se maskuje jako /bin/watchdog. Killall -9 watchdog to vypne. Jinak sysupgrade -c umozni ulozeni modifikovanych konfiguracnich souboru. Takze je mozne zmenit i volby, ktere pres remote management nejde zmenit.

ladap

info z TP-Linku

na Archer C6 V3.20 vyšel teď nový build s fixem 20230828
https://www.tp-link.com/cz/support/download/archer-c6/v3.20/#Firmware
Archer C6 V2 podle centrály neměla být ovlivněná touto zranitelností.
Na AX23 vyšla oprava v buildu 20230725
https://www.tp-link.com/cz/support/download/archer-ax23/v1/#Firmware
Na AX20 V1 vyjde nový build do zítra.
Archer C5 V4 ještě řešíme.
Další modely by měly mít poslední FW buildy s opravami.

kubajz

ladap by me zajimalo, jestli za to dostanem od TP-Linku aspon tricko 😁

RandomUser

ladap a co Archer C6 v4?

mirmo80

Ja by som sa, prosím, len chcel opýtať, či sú ohrození aj užívatelia, ktorí na týchto routroch nepoužívajú verejnú IP. Teda sú za NATom svojho ISP - ak to správne píšem.

basty

mirmo80 jak tu někdo psal, tak i takto.

honzam

mirmo80 Z vnitřní sítě zranitelné. Asi menší šance ale je tam...

Alois

Doma by musel někdo ten bordel pustit, což je menší pravděpodobnost, ale vyloučit to samozřejmě nejde. Do firem doufám takový srágory nedáváte...

myghael

Alois Nemusíme, firmy si to kolikrát kupují samy.

« Předchozí stránka Další stránka »