Foi revelada uma falha de segurança de gravidade máxima no roteador TP-Link Archer C5400X que poderia levar à execução remota de código em dispositivos vulneráveis ao enviar solicitações especialmente desenvolvidas.
Essa vulnerabilidade, identificada como CVE-2024-5035, possui uma pontuação CVSS de 10.0. Ela afeta todas as versões do firmware do roteador incluindo e anteriores à 1_1.1.6. Essa falha foi corrigida na versão 1_1.1.7 lançada em 24 de maio de 2024.
Segundo a empresa alemã de cibersegurança ONEKEY, “Ao explorar com sucesso essa falha, atacantes remotos não autenticados podem obter execução de comando arbitrário no dispositivo com privilégios elevados.”

O problema está relacionado a um binário de testes de frequência de rádio “rftest” que é iniciado durante a inicialização e expõe um ouvinte de rede nas portas TCP 8888, 8889 e 8890, permitindo assim que um atacante remoto não autenticado alcance a execução de código.

Enquanto o serviço de rede está projetado para aceitar apenas comandos que começam com “wl” ou “nvram get”, a ONEKEY descobriu que essa restrição poderia ser facilmente contornada através da injeção de um comando após metacaracteres de shell como ; , & , ou | (por exemplo, “wl;id;”).

A correção implementada pela TP-Link na versão 1_1.1.7 Build 20240510 aborda a vulnerabilidade descartando qualquer comando que contenha esses caracteres especiais.

A divulgação ocorre semanas depois que falhas de segurança também foram reveladas pela empresa em roteadores Ethernet industriais Delta Electronics DVW W02W2 (CVE-2024-3871) e equipamentos de rede Ligowave (CVE-2024-4999) que poderiam permitir que atacantes remotos obtivessem execução de comando remota com privilégios elevados.

Importante notar que essas falhas permanecem não corrigidas devido aos dispositivos não serem mais mantidos ativamente, tornando imperativo que os usuários tomem medidas adequadas para limitar a exposição das interfaces de administração a fim de reduzir o potencial de exploração.