Roteador de Jogos da TP-Link Vulnerabilidade Expõe Usuários a Ataques de Código Remoto

Uma falha de segurança de gravidade máxima foi divulgada no roteador de jogos TP-Link Archer C5400X que poderia levar à execução remota de código em dispositivos suscetíveis ao enviar solicitações especialmente elaboradas.

A vulnerabilidade, rastreada como CVE-2024-5035, possui uma pontuação CVSS de 10.0. Afeta todas as versões do firmware do roteador, incluindo e anteriores à 1_1.1.6. Foi corrigido na versão 1_1.1.7 lançada em 24 de maio de 2024.

“Ao explorar com sucesso essa falha, atacantes remotos não autenticados podem obter a execução de comandos arbitrários no dispositivo com privilégios elevados,” disse a empresa alemã de cibersegurança ONEKEY em um relatório publicado na segunda-feira.

O problema está relacionado a um binário de teste de frequência de rádio “rftest” que é iniciado na inicialização e expõe um ouvinte de rede nas portas TCP 8888, 8889 e 8890, permitindo assim que um atacante remoto não autenticado alcance a execução de código.

Enquanto o serviço de rede é projetado para aceitar apenas comandos que começam com “wl” ou “nvram get,” a ONEKEY descobriu que a restrição poderia ser facilmente burlada injetando um comando após metacaracteres de shell como ; , & , ou | (por exemplo, “wl;id;”).

A correção implementada pela TP-Link na versão 1_1.1.7 Build 20240510 aborda a vulnerabilidade descartando qualquer comando contendo esses caracteres especiais.

“Parece que a necessidade de fornecer uma API de configuração de dispositivo sem fio na TP-Link teve que ser respondida de forma rápida ou barata, o que resultou na exposição de um shell supostamente limitado sobre a rede que os clientes dentro do roteador poderiam usar como uma maneira de configurar dispositivos sem fio,” disse a ONEKEY.

A divulgação ocorre semanas após problemas de segurança serem também revelados pela empresa nos roteadores Ethernet industriais Delta Electronics DVW W02W2 (CVE-2024-3871) e nos equipamentos de rede Ligowave (CVE-2024-4999) que poderiam permitir a atacantes remotos a execução remota de comandos com privilégios elevados.

Vale ressaltar que essas falhas permanecem sem correção devido aos dispositivos não estarem mais sendo mantidos ativamente, tornando imperativo que os usuários tomem medidas adequadas para limitar a exposição das interfaces de administração e reduzir o potencial de exploração.