Bug in alcuni router TP-Link Archer permette di assumere il controllo del dispositivo

TP-Link ha appena rilasciato quattro patch di sicurezza destinate ad altrettanti modelli di router: Archer C5 V4, MR200v4, MR6400v4 e MR400v3.
L’intervento dei tecnici di TP-Link ha permesso la risoluzione di una grave vulnerabilità scoperta da Grzegorz Wypych, ricercatore in forze nelle fila di IBM X-Force Red.

Wypych ha spiegato che un aggressore può prendere di mira i modelli di router Archer citati in precedenza (nel caso in cui utilizzassero un firmware non aggiornato) e assumerne il controllo, modificando le credenziali di accesso e aprendo una porta di accesso dall’esterno (leggasi rete WAN). La falla consente di superare il nome utente e la password impostati dall’utente a causa di un bug nel software di TP-Link che non gestisce correttamente le richieste HTTP superiori a una certa dimensione.

Il ricercatore spiega che l’unica verifica effettuata dai router TP-Link consisteva nel controllo del referrer ossia della provenienza della richiesta HTTP. Tale dato, però, può essere facilmente modificato ad arte permettendo il superamento della schermata di login.

Una volta acquisiti i privilegi amministrativi, un aggressore può svolgere qualunque genere di modifica sulla configurazione del router e, addirittura, bloccare l’accesso da parte del proprietario del dispositivo o dell’amministratore di rete.

Wypych spiega che la falla può essere sfruttata in ambito locale, quindi all’interno della LAN, ma che le reti WiFi guest possono evidentemente rappresentare una minaccia. Un soggetto terzo potrebbe infatti sfruttare l’accesso attraverso le reti wireless riservate agli “ospiti” per causare danni a privati, professionisti e imprese.

Il suggerimento, quindi, è quello di verificare la versione del firmware in uso sui router TP-Link Archer e installare tempestivamente le release aggiornate.