Een kwetsbaarheid in de software van verschillende routers van TP-link laat hackers toe authenticatie te omzeilen, waarna ze de router met administratorprivileges kunnen overnemen.
Onderzoekers van IBM X-Force Red ontdekten een kritieke kwetsbaarheid in routers van TP-link. Hackers kunnen via een lokaal netwerk een HTTP-request naar de router sturen met daarin een string aan tekens die langer is dan de toegestane hoeveelheid bytes. Dat zorgt ervoor dat de router zich vrij drastisch verslikt en het wachtwoord van de rechtmatige gebruiker de vuilbak in kiepert. Dat wachtwoord wordt vervolgens vervangen door een leeg veld, waarna de aanvaller zonder problemen kan inloggen als administrator.
Geen wachtwoord
TP-link heeft in theorie beveiliging ingebouwd tegen een dergelijk type aanval, maar hackers kunnen die omzeilen door hun malafide request te laten valideren door een hardgecodeerde waarde. Het resultaat is dat de hacker niet alleen controle krijgt over het toestel, maar dat het ook vrijwel onmogelijk wordt voor de rechtmatige eigenaar om opnieuw toegang te krijgen tot de router. Die zou tevergeefs proberen in te loggen met zijn gegevens, terwijl het enige juiste wachtwoord op dat moment ‘geen wachtwoord’ is. Er is echter geen enkele indicatie naar de eigenaar toe dat zoiets plots het geval is.
De kwetsbaarheid is vooral gevaarlijk voor bedrijfsomgevingen waar hackers de router via een gastnetwerk kunnen kraken. Er is immers steeds een verbinding met het lokale netwerk nodig: de aanval werkt niet via het web.
Vier routers uit de TP-link Archer-reeks zijn getroffen:
– Archer C5 V4
– Archer MR200v4
– Archer MR6400v4
– Archer MR400v3
TP-link heeft intussen een update uitgebracht voor de firmware van de toestellen die het euvel verhelpt. Updaten is de boodschap, al is er het gevaar dat die boodschap de juiste doelgroep niet zal bereiken. Zeker in bescheidenere omgevingen zoals kmo’s is de router meer een set and forget-toestel. Het ding up to date houden is zelden een prioriteit. De kwetsbaarheid gaat door het leven onder de CVE-2019-7405-noemer, en wordt om begrijpelijke redenen als kritiek bestempeld.