TP-Link dicht overflow-lek in Archer-router waarmee aanvaller adminrechten kreeg

TP-Link heeft een lek in zijn Archer-routers gerepareerd. Daarmee was het mogelijk om de configuratie van het apparaat te veranderen. Onderzoekers van IBM hebben het lek ontdekt en noemen het een 'zero day', maar er zijn geen aanwijzingen dat het lek actief misbruikt is.

Het lek krijgt de aanduiding CVE_2017_7405 mee. De kwetsbaarheid werd ontdekt door beveiligingsonderzoekers van IBM en is van toepassing op de Archer C5-routers van TP-Link, met firmwareversie 16.0 0.9.1 v600c.0 Build 180124 Rel.28919n. Volgens de onderzoekers is het mogelijk om via Telnet op de router te komen en het lek vervolgens uit te buiten. Aanvallers kunnen zo van een afstand in het netwerk komen en door het netwerk bewegen. Ook kunnen aanvallers op ftp-servers komen. De aanvallers zouden met de kwetsbaarheid adminrechten op de router kunnen krijgen.

Het gaat om een overflow-kwetsbaarheid. Als een aanvaller een wachtwoord invoerde dat een bepaalde lengte had, werd het wachtwoordveld vervangen door een lege waarde die altijd werd geaccepteerd. Bovendien konden gebruikers alleen op de router inloggen als admin met rootrechten, waardoor een aanvaller direct veel mogelijkheden had in het systeem.

IBM noemt het lek een zeroday, maar geeft geen voorbeelden van waar het lek actief is misbruikt. TP-Link heeft inmiddels een patch uitgebracht waarmee het lek gedicht wordt.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 19-12-2019 11:48
29 • submitter: m3gA

19-12-2019 • 11:48

29

Submitter: m3gA

Lees meer

TP-Link brengt Wi-Fi 6E-router met automatisch draaiende antennes dit jaar uit
TP-Link brengt Wi-Fi 6E-router met automatisch draaiende antennes dit jaar uit Nieuws van 4 januari 2022
79 Netgear-routers zijn kwetsbaar voor ongepatcht buffer-overflowlek
79 Netgear-routers zijn kwetsbaar voor ongepatcht buffer-overflowlek Nieuws van 19 juni 2020
Mitigatie voor zeroday in Internet Explorer maakt Windows-onderdelen stuk
Mitigatie voor zeroday in Internet Explorer maakt Windows-onderdelen stuk Nieuws van 27 januari 2020
Onderzoekers: kwetsbaarheid in kabelmodems treft vele miljoenen exemplaren
Onderzoekers: kwetsbaarheid in kabelmodems treft vele miljoenen exemplaren Nieuws van 12 januari 2020
TP-Link kondigt router met Intel-chipset en Deco-sets met Wi-Fi 6 aan
TP-Link kondigt router met Intel-chipset en Deco-sets met Wi-Fi 6 aan Nieuws van 3 september 2019
TP-Link kondigt Deco X10-meshrouter op basis van 802.11ax aan
TP-Link kondigt Deco X10-meshrouter op basis van 802.11ax aan Nieuws van 10 januari 2019
Nvidia start GeForce Now-programma voor routers
Nvidia start GeForce Now-programma voor routers Nieuws van 20 december 2018
Meer producten en artikelen
Beveiliging en antivirus TP-Link Archer

Reacties (29)

-Moderatie-faq
29
27
11
0
0
15
Wijzig sortering
Memori 19 december 2019 12:33
IBM noemt het lek een zeroday, maar geeft geen voorbeelden van waar het lek actief is misbruikt. TP-Link heeft inmiddels een patch uitgebracht waarmee het lek gedicht wordt.
Vulnerabilities die nog niet eerder aan het licht zijn gekomen heb ik zelf altijd zero day genoemd. Een exploit waar niemand anders nog van af weet / niet publiekelijk is. Als het lek actief is misbruikt, zou het daarom ook geen zero-day meer zijn.

[Reactie gewijzigd door Memori op 22 juli 2024 19:52]

johnkeates @Memori19 december 2019 15:05
Een zero day is een exploit waar nul dagen tussen exploit en exploit publicatie zitten. Dus een exploit die je kan gebruiken (om dat het bekend gemaakt is), zonder dat er tijd was voor de vendor om er wat mee te doen.

Stel dat je het ontdekt (de exploit) maar het pas later misbruikt/publiceert zodat de vendor tijd heeft om het wel te bekijken, dan is het geen zero-day.
Mikke8 19 december 2019 14:43
Het CVE nummer aangegeven in het artikel CVE-2017-7405 lijkt me incorrect.
Waarom zou er in eerste instantie een CVE nummer worden toegekend van in 2017
Alsook al je gaat kijken bij Mitre (de organisatie verantwoordelijk voor het uitdelen van CVE nummers) spreekt men hier over de D-Link DIR-615 before v20.12PTb04.

Via andere bronnen kom ik wel terecht bij CVE-2019-7405. Maar hier is nog geen informatie over publiek gemaakt vanuit Mitre
DropjesLover 19 december 2019 11:51
En als je een Archer als AP achter je telco (Ziggo) modem/router hebt hangen?
Starck @DropjesLover19 december 2019 11:56
Zolang je telnet (TCP poort 23) niet geforward hebt naar jouw accesspoint, is er niks aan de hand :)
DropjesLover @Starck19 december 2019 12:05
Als het goed is niet.
Ik heb eens geprobeerd een poort te openen/forwarden naar mn RPi (voor een VPN client) en zelfs die kon ik niet bereiken van buitenaf...
DonLexos @DropjesLover19 december 2019 12:57
Je moet m én in je router/modem van je provider forwarden (naar je access-point/2e router) en vanaf daar naar je pi, dat kan prima werken ;-)
Phyxion @DonLexos19 december 2019 14:05
Of je zet je Ziggo modem in bridge modus en laat je eigen router alles afhandelen, scheelt een hoop ellende :)
alexvanniel @Phyxion19 december 2019 14:44
Maar dan is dus die telnet port waar in het artikel over gesproken wordt wel exposed naar buiten. Dus, dat scheelt een hoop ellende, of het veroorzaakt een hoop ellende. Het is maar net hoe je er mee omgaat en het is maar net of er iemand jouw aansluiting interessant genoeg vindt om op in te breken.
In het geval van poorten die maar niet open willen scheelt het inderdaad wanneer je de modem van je ISP op bridge zet. Echter heb ik bij Ziggo al wel vaker meegemaakt dat er bepaalde poorten gewoon gesloten blijven, ondanks dat je ze op je router open hebt staan. Dat zijn dan ook wel poorten waar je sterk je vraagtekens bij moet hebben of je die wel open wilt hebben en als daar het antwoord ja op is dan is er meestal wel een mogelijkheid om er een ander poortje van te maken.
Accretion @alexvanniel19 december 2019 20:35
of er iemand jouw aansluiting interessant genoeg vindt om op in te breken.
Zo werkt dat niet; d'r zijn complete botnets die het internet afspeuren naar openstaande poorten voor het toepassen van bekende beveilingslekken.

Dit vaak om toegang te verkrijgen en hierna bots of een cryptolocker op jou apparaten/netwerk te zetten.
Voor elke poort die je openzet; is de vraag of het programma dat erachter zit; om kan gaan met dingen zoals een overflow.
Martin.Air @DropjesLover19 december 2019 11:56
Zonder er te diep op in te gaan:
Als je Ziggo modem/router ingesteld staat als Modem, met de telnet poort of met alle ports geforward naar de Archer: JA.

Als de Ziggo modem/router functioneerd als router zonder de telnet poort te forwarden naar de Archer: NEE.
DJMaze @Martin.Air19 december 2019 12:08
Je "JA" hoeft niet waar te zijn als telnet uit staat.
Geen idee of je dat in de Archer kan uit zetten (of standaard uit staat ipv aan), maar bij mij staat Ziggo modem in bridge en mijn router poorten van buitenaf dicht.
Memori @DropjesLover19 december 2019 12:37
En hierom moet er altijd de optie blijven om je eigen router op het netwerk te hangen zonder tussenkomst van andere apparatuur van de provider achter de NTU.
Dreamvoid @Memori19 december 2019 15:49
Nogal een risico dus voor de mensen die hun Ziggo/KPN router hebben vervangen door zo'n TP-Link router.
mjz2cool @RobIII19 december 2019 12:11
Wat had je anders voor antwoord verwacht?
Om maar wat te noemen: het levert in principe geen risico op, zolang poort 23 niet wordt geforward.
alexvanniel 19 december 2019 14:18
Als ik het goed begrijp is er dus een zero-day issue gepatcht.
Deze bug wordt nog niet actief misbruikt.
Maar er is ook nog geen firmware te downloaden. Voor mijn Archer A7 is bijvoorbeeld nog geen nieuwe firmware beschikbaar gesteld (zowel de website toont deze niet alsmede de upgrade feature in de web interface).
Dan is het dus een kwestie van tijd voor dit actief misbruikt gaat worden, lijkt mij zo en dus des te belangrijker dat TP Link die update zo snel mogelijk uitbrengt, toch?
Nou is het feit dat dit nog niet beschikbaar is voor mijn Archer A7, niet bepaald een graadmeter maar het is dan wel mijn point-of-view.

Edit: Het blijkt om Archer C5-routers te gaan. Dat was vroeger (toen ik deze reactie schreef) niet.

[Reactie gewijzigd door alexvanniel op 22 juli 2024 19:52]

TommyboyNL @alexvanniel19 december 2019 16:41
Jouw Archer A7 is geen Archer C5 (waar dit nieuwsbericht over gaat), dus je bent niet getroffen door deze bug en klopt het dus dat er geen firmware upgrade klaar staat.
alexvanniel @TommyboyNL19 december 2019 17:08
Ten tijden van mijn reactie stond er alleen "Archer-routers" nu staat er inderdaad Archer C5 routers. Dat maakt mijn opmerking natuurlijk overbodig.
Dreamvoid 19 december 2019 15:51
Dat er uberhaupt nog telnet op een consumenten router zit is al bedenkelijk, ik zou dat anno 2019 allang eruit gestript hebben. Gebruik maar lekker ssh zou ik dan zeggen.

[Reactie gewijzigd door Dreamvoid op 22 juli 2024 19:52]

EXXiBIT 20 december 2019 14:38
Op de site van TP-Link zie ik helemaal geen firmware update staan voor de Archer C5?
Er staat toch echt in het nieuwsbericht dat het al gepatched is.
netmeester @Verwijderd19 december 2019 12:41
Dus omdat jij één defect product had waarmee je blijkbaar niet bent teruggegaan naar de verkoper, is het een drama-bedrijf? Beetje een vreemde insteek.

Heb meerdere TP-Link-producten gehad en nu nog steeds 2 10Gbit-switches van dit merk in gebruik. Deze werken perfect, hebben zo'n beetje alle mogelijkheden die andere merken ook hebben maar dan met levenslange garantie.
Ik zie hier geen 'drama-bedrijf' in, eerder een prijsvechter.
Exirion @netmeester19 december 2019 13:15
Deze nieuwe ‘tweaker’ houdt er wel meer bijzondere opvattingen op na...
Maurits van Baerle @Verwijderd19 december 2019 13:20
De hardware is wel OK. Je moet er alleen direct OpenWrt op zetten zodat je niet afhankelijk bent van hun software.
Qalo @Maurits van Baerle19 december 2019 15:17
Precies mijn idee. Heb zelf ook een TP-Link router, maar ik had constant gezeik met onstabiele verbinding, zwak signaal in de verste ruimtes van het huis. Ik moest dat onding ook elke twee weken van het stroom halen om tijdelijk weer een stabiele(re) verbinding te krijgen. Maar na elke twee weken mocht ik de stekker er weer uit trekken, twee minuten wachten etc.

Op een gegeven moment heb ik er DD-WRT op geflasht. Alle issues waren hiermee als sneeuw voor de zon verdwenen en werkt de router perfect. Vanaf oktober 2018 tot het moment van de recente upgrade van DD-WRT heb ik niet één keer meer de boel hoeven resetten. Heb er geen omkijken meer naar, behalve dan om periodiek te checken of er een nieuwe release is van DD-WRT (die ik er een paar weken geleden ook op gemikt heb).

DD-WRT, OpenWRT.... allemaal prima spul. Beter dan die rommel die ze standaard op routers prakken (en die binnen no-time geen ondersteuning meer krijgen of updates/upgrades meer krijgen vanuit de fabrikant).

[Reactie gewijzigd door Qalo op 22 juli 2024 19:52]

Jerie @Qalo19 december 2019 17:39
Ubiquiti producten krijgen ook prima updates.
matthewk @Verwijderd19 december 2019 12:44
Hier een mesh netwerk van TP-link dat fantastisch draait en makkelijk in te stellen was. Geen idee hoe jij aan je problemen kwam / komt maar ik kan in ieder geval niet zeggen dat ik dezelfde ervaring heb.
Scriptkid @matthewk19 december 2019 15:27
Idd heb zelf een archer c7. Destijds en nog steeds een van de beste routers in performance. Ding heeft super berijk op wifi. 3 etages plus tuin zonder versterkers en reboot minder dan 1 keer per jaar

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq