Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

TP-Link dicht overflow-lek in Archer-router waarmee aanvaller adminrechten kreeg

TP-Link heeft een lek in zijn Archer-routers gerepareerd. Daarmee was het mogelijk om de configuratie van het apparaat te veranderen. Onderzoekers van IBM hebben het lek ontdekt en noemen het een 'zero day', maar er zijn geen aanwijzingen dat het lek actief misbruikt is.

Het lek krijgt de aanduiding CVE_2017_7405 mee. De kwetsbaarheid werd ontdekt door beveiligingsonderzoekers van IBM en is van toepassing op de Archer C5-routers van TP-Link, met firmwareversie 16.0 0.9.1 v600c.0 Build 180124 Rel.28919n. Volgens de onderzoekers is het mogelijk om via Telnet op de router te komen en het lek vervolgens uit te buiten. Aanvallers kunnen zo van een afstand in het netwerk komen en door het netwerk bewegen. Ook kunnen aanvallers op ftp-servers komen. De aanvallers zouden met de kwetsbaarheid adminrechten op de router kunnen krijgen.

Het gaat om een overflow-kwetsbaarheid. Als een aanvaller een wachtwoord invoerde dat een bepaalde lengte had, werd het wachtwoordveld vervangen door een lege waarde die altijd werd geaccepteerd. Bovendien konden gebruikers alleen op de router inloggen als admin met rootrechten, waardoor een aanvaller direct veel mogelijkheden had in het systeem.

IBM noemt het lek een zeroday, maar geeft geen voorbeelden van waar het lek actief is misbruikt. TP-Link heeft inmiddels een patch uitgebracht waarmee het lek gedicht wordt.

Door Tijs Hofmans

Redacteur privacy & security

19-12-2019 • 11:48

29 Linkedin Google+

Submitter: m3gA

Reacties (29)

Wijzig sortering
IBM noemt het lek een zeroday, maar geeft geen voorbeelden van waar het lek actief is misbruikt. TP-Link heeft inmiddels een patch uitgebracht waarmee het lek gedicht wordt.
Vulnerabilities die nog niet eerder aan het licht zijn gekomen heb ik zelf altijd zero day genoemd. Een exploit waar niemand anders nog van af weet / niet publiekelijk is. Als het lek actief is misbruikt, zou het daarom ook geen zero-day meer zijn.

[Reactie gewijzigd door Memori op 19 december 2019 12:34]

Een zero day is een exploit waar nul dagen tussen exploit en exploit publicatie zitten. Dus een exploit die je kan gebruiken (om dat het bekend gemaakt is), zonder dat er tijd was voor de vendor om er wat mee te doen.

Stel dat je het ontdekt (de exploit) maar het pas later misbruikt/publiceert zodat de vendor tijd heeft om het wel te bekijken, dan is het geen zero-day.
Het CVE nummer aangegeven in het artikel CVE-2017-7405 lijkt me incorrect.
Waarom zou er in eerste instantie een CVE nummer worden toegekend van in 2017
Alsook al je gaat kijken bij Mitre (de organisatie verantwoordelijk voor het uitdelen van CVE nummers) spreekt men hier over de D-Link DIR-615 before v20.12PTb04.

Via andere bronnen kom ik wel terecht bij CVE-2019-7405. Maar hier is nog geen informatie over publiek gemaakt vanuit Mitre
En als je een Archer als AP achter je telco (Ziggo) modem/router hebt hangen?
Zolang je telnet (TCP poort 23) niet geforward hebt naar jouw accesspoint, is er niks aan de hand :)
Als het goed is niet.
Ik heb eens geprobeerd een poort te openen/forwarden naar mn RPi (voor een VPN client) en zelfs die kon ik niet bereiken van buitenaf...
Je moet m én in je router/modem van je provider forwarden (naar je access-point/2e router) en vanaf daar naar je pi, dat kan prima werken ;-)
Of je zet je Ziggo modem in bridge modus en laat je eigen router alles afhandelen, scheelt een hoop ellende :)
Maar dan is dus die telnet port waar in het artikel over gesproken wordt wel exposed naar buiten. Dus, dat scheelt een hoop ellende, of het veroorzaakt een hoop ellende. Het is maar net hoe je er mee omgaat en het is maar net of er iemand jouw aansluiting interessant genoeg vindt om op in te breken.
In het geval van poorten die maar niet open willen scheelt het inderdaad wanneer je de modem van je ISP op bridge zet. Echter heb ik bij Ziggo al wel vaker meegemaakt dat er bepaalde poorten gewoon gesloten blijven, ondanks dat je ze op je router open hebt staan. Dat zijn dan ook wel poorten waar je sterk je vraagtekens bij moet hebben of je die wel open wilt hebben en als daar het antwoord ja op is dan is er meestal wel een mogelijkheid om er een ander poortje van te maken.
of er iemand jouw aansluiting interessant genoeg vindt om op in te breken.
Zo werkt dat niet; d'r zijn complete botnets die het internet afspeuren naar openstaande poorten voor het toepassen van bekende beveilingslekken.

Dit vaak om toegang te verkrijgen en hierna bots of een cryptolocker op jou apparaten/netwerk te zetten.
Voor elke poort die je openzet; is de vraag of het programma dat erachter zit; om kan gaan met dingen zoals een overflow.
Zonder er te diep op in te gaan:
Als je Ziggo modem/router ingesteld staat als Modem, met de telnet poort of met alle ports geforward naar de Archer: JA.

Als de Ziggo modem/router functioneerd als router zonder de telnet poort te forwarden naar de Archer: NEE.
Je "JA" hoeft niet waar te zijn als telnet uit staat.
Geen idee of je dat in de Archer kan uit zetten (of standaard uit staat ipv aan), maar bij mij staat Ziggo modem in bridge en mijn router poorten van buitenaf dicht.
En hierom moet er altijd de optie blijven om je eigen router op het netwerk te hangen zonder tussenkomst van andere apparatuur van de provider achter de NTU.
Nogal een risico dus voor de mensen die hun Ziggo/KPN router hebben vervangen door zo'n TP-Link router.
Wat had je anders voor antwoord verwacht?
Om maar wat te noemen: het levert in principe geen risico op, zolang poort 23 niet wordt geforward.
Als ik het goed begrijp is er dus een zero-day issue gepatcht.
Deze bug wordt nog niet actief misbruikt.
Maar er is ook nog geen firmware te downloaden. Voor mijn Archer A7 is bijvoorbeeld nog geen nieuwe firmware beschikbaar gesteld (zowel de website toont deze niet alsmede de upgrade feature in de web interface).
Dan is het dus een kwestie van tijd voor dit actief misbruikt gaat worden, lijkt mij zo en dus des te belangrijker dat TP Link die update zo snel mogelijk uitbrengt, toch?
Nou is het feit dat dit nog niet beschikbaar is voor mijn Archer A7, niet bepaald een graadmeter maar het is dan wel mijn point-of-view.

Edit: Het blijkt om Archer C5-routers te gaan. Dat was vroeger (toen ik deze reactie schreef) niet.

[Reactie gewijzigd door alexvanniel op 19 december 2019 17:08]

Jouw Archer A7 is geen Archer C5 (waar dit nieuwsbericht over gaat), dus je bent niet getroffen door deze bug en klopt het dus dat er geen firmware upgrade klaar staat.
Ten tijden van mijn reactie stond er alleen "Archer-routers" nu staat er inderdaad Archer C5 routers. Dat maakt mijn opmerking natuurlijk overbodig.
Dat er uberhaupt nog telnet op een consumenten router zit is al bedenkelijk, ik zou dat anno 2019 allang eruit gestript hebben. Gebruik maar lekker ssh zou ik dan zeggen.

[Reactie gewijzigd door Dreamvoid op 19 december 2019 15:52]

Op de site van TP-Link zie ik helemaal geen firmware update staan voor de Archer C5?
Er staat toch echt in het nieuwsbericht dat het al gepatched is.
Dus omdat jij één defect product had waarmee je blijkbaar niet bent teruggegaan naar de verkoper, is het een drama-bedrijf? Beetje een vreemde insteek.

Heb meerdere TP-Link-producten gehad en nu nog steeds 2 10Gbit-switches van dit merk in gebruik. Deze werken perfect, hebben zo'n beetje alle mogelijkheden die andere merken ook hebben maar dan met levenslange garantie.
Ik zie hier geen 'drama-bedrijf' in, eerder een prijsvechter.
Deze nieuwe ‘tweaker’ houdt er wel meer bijzondere opvattingen op na...
De hardware is wel OK. Je moet er alleen direct OpenWrt op zetten zodat je niet afhankelijk bent van hun software.
Precies mijn idee. Heb zelf ook een TP-Link router, maar ik had constant gezeik met onstabiele verbinding, zwak signaal in de verste ruimtes van het huis. Ik moest dat onding ook elke twee weken van het stroom halen om tijdelijk weer een stabiele(re) verbinding te krijgen. Maar na elke twee weken mocht ik de stekker er weer uit trekken, twee minuten wachten etc.

Op een gegeven moment heb ik er DD-WRT op geflasht. Alle issues waren hiermee als sneeuw voor de zon verdwenen en werkt de router perfect. Vanaf oktober 2018 tot het moment van de recente upgrade van DD-WRT heb ik niet één keer meer de boel hoeven resetten. Heb er geen omkijken meer naar, behalve dan om periodiek te checken of er een nieuwe release is van DD-WRT (die ik er een paar weken geleden ook op gemikt heb).

DD-WRT, OpenWRT.... allemaal prima spul. Beter dan die rommel die ze standaard op routers prakken (en die binnen no-time geen ondersteuning meer krijgen of updates/upgrades meer krijgen vanuit de fabrikant).

[Reactie gewijzigd door Qalo op 19 december 2019 15:18]

Ubiquiti producten krijgen ook prima updates.
Hier een mesh netwerk van TP-link dat fantastisch draait en makkelijk in te stellen was. Geen idee hoe jij aan je problemen kwam / komt maar ik kan in ieder geval niet zeggen dat ik dezelfde ervaring heb.
Idd heb zelf een archer c7. Destijds en nog steeds een van de beste routers in performance. Ding heeft super berijk op wifi. 3 etages plus tuin zonder versterkers en reboot minder dan 1 keer per jaar

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True