TP-Link'in Archer model router'larında, siber saldırganların yonetici şifrelerini gecersiz kılarak bir Telnet bağlantısı ile LAN uzerinden cihazları uzaktan kontrol edebildikleri kritik bir guvenlik acığı keşfedildi. Şirket, CVE-2019-7405 olarak adlandırılan acığın ortaya cıkmasının ardından, gelebilecek potansiyel saldırılara karşı guvenlik yaması yayınladı.
IBM X-Force Red'te guvenlik danışmanı olan Grzegorz Wypych, "Eğer bu router guvenlik acığı kotuye kullanılırsa, saldırgaların router'ın yapılandırmasını yerel alan ağında (LAN) Telnet aracılığıyla kontrol edebilmesine ve LAN veya geniş alan ağı (WAN) uzerinden bir Dosya Aktarım Protokolu (FTP) sunucusuna bağlanmasına neden olabilir" dedi.

Guvenlik acığından yararlanmaya calışan saldırganlar izin verilen bayt sayısından daha uzun karakter dizisi iceren bir HTTP isteği gonderiyor. Bunun sonucunda kullanıcı şifresi tamamen gecersiz hale getirilerek boş bir değerle değiştiriliyor. Bu yontem cihazdaki doğrulamaya rağmen calışıyor, cunku yalnızca yonlendirenin HTTP ustbilgisini kontrol ediyor ve saldırgan router'ın httpd hizmetini, kodlanmış tplinkwifi.net değerini kullanarak kandırmasını sağlıyor.
Acıktan etkilenen router'lardaki tek kullanıcı turu cihazın tum izinlerine sahip olan yonetici olduğundan, siber saldırganlar kimlik doğrulamayı atlayarak otomatik olarak yonetici ayrıcalıkları elde ediyor. Daha da kotusu router sahibi cihaza yeni bir şifre belirlemiş olsa bile, saldırganlar FTP sunucusunun yerleşik USB bağlantılarına LAN / WAN / CGI isteği gondererek şifreyi yeniden etkisiz hale getirebiliyor.
TP-Link, Archer C5 V4, Archer MR200v4, Archer MR6400v4 ve Archer MR400v3 cihazları icin guvenlik yamalarını kullanıcılarına sundu.