TP-Link路由器漏洞可让攻击者无密码登录

近期，TP-Link修补了一个影响旗下部分Archer路由器的高危漏洞，它可让攻击者注销设备管理密码，并通过Telnet远程控制同一局域网内（家庭或学校）的设备。

这个漏洞是被IBM X-Force Red的Grzegorz Wypych发现的，他表示：“利用这个路由器漏洞，处于同一局域网的攻击者可通过Telnet改变路由器的配置，并且直连到FTP服务（如下图所示）。”

为了利用这个漏洞，攻击者必须发送一个包含长度超过所允许字节数的字符串的HTTP请求，这会导致用户密码无效化，被一个空值所替换。

尽管设备有安全验证，但因为它只检查referrer的HTTP头信息，所以攻击者可利用硬编码的tplinkwifi.net值来欺骗路由器的httpd服务，将其请求视为有效。

不同Referer头请求的对比：

GET请求也可使密码无效化：

接管路由器

因为这种路由器上唯一的用户类型是具有所有权限的管理员，一旦攻击者绕过身份验证流程，就会自动获得路由器的root权限。

攻击成功后，不仅攻击者可以获得高权限，合法用户也可能被锁定，无法通过用户界面登录Web服务，因为此时登录页面已不再接受任何密码。

在这种情况下，受害者无法重新设置密码，可能会完全失去对设备的控制权。

更糟糕的是，即使受害者通过某些手段重新设置了密码，攻击者只需发送一个LAN/WAN/CGI请求，就可使密码无效。此时，只有通过USB物理连接其内置的FTP服务进行访问。

此外，RSA加密密钥也会自动失效，因为它们不能以空密码作为密钥。

Wypych表示：“这个漏洞之所以被认为是高危，是因为它可以让未经身份验证的第三方直接获取路由器的管理权限，这也就等同于获得root权限。”

“而且该漏洞对于商业场所（商场，银行）的影响更大，因为可能有很多流动人员来连接WiFi。同时，这也可能成为渗透企业内网的立足点。”

安全补丁

目前，TP-Link已经发布了相应的补丁，该漏洞被标记为CVE-2019-7405。

你可以从以下链接中下载Archer C5 V4、Archer MR200v4、Archer MR6400v4和Archer MR400v3路由器的补丁。

Archer C5 V4    https://static.tp-link.com/2019/201909/20190917/Archer_C5v4190815.rar

Archer MR200v4    https://static.tp-link.com/2019/201909/20190903/Archer%20MR200(EU)_V4_20190730.zip

Archer MR6400v4    https://static.tp-link.com/2019/201908/20190826/Archer%20MR6400(EU)_V4_20190730.zip

Archer MR400v3    https://static.tp-link.com/2019/201908/20190826/Archer%20MR400(EU)_V3_20190730.zip

感谢你的阅读！

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.bleepingcomputer.com/news/security/tp-link-router-bug-lets-attackers-login-without-passwords/