Vulnerabilidad en los router Archer de TP-Link

router1.png

Recientemente se ha publicado una vulnerabilidad Zero Day en los router Archer de TP-Link que afecta a varios modelos de este dispositivo. La vulnerabilidad identificada con el CVE-2019-7405 existe cuando se envía un paquete HTTP específicamente diseñado, en donde la cadena de caracteres de la contraseña que se envía es más larga que el número permitido de bytes, esto da lugar a que la contraseña del usuario se anule por completo y se reemplace con un valor vacío, es decir se inicie sesión sin una contraseña.

Como primera instancia para la explotación, una solicitud HTTP/s es enviada al router incluyendo en la cabecera Referer el valor http://tplinkwifi.net. Esto provoca que el router tome la petición como válida de manera automática.

router2.png

Luego que la solicitud HTTP/s es tomada como válida, se reemplaza la contraseña del usuario por una contraseña con más caracteres de lo permitido lo que provoca un buffer overflow (desbordamiento de buffer) y la contraseña del usuario es modificada por una contraseña vacía, obteniendo así el acceso no autorizado a la administración del router.

Los router vulnerables son:

  • Archer C5 V4
  • Archer MR200v4
  • Archer MR6400v4
  • Archer MR400v3

Recomendaciones:

  • TP-Link ya ha puesto a disposición los parches de seguridad, por lo que se recomienda aplicar los mismos a cada dispositivo lo antes posible.
  • Proteger el acceso a la interfaz de administración del router a través de un firewall.

Referencias:

Compartir: