:

Szerző: Hlács Ferenc

2019. április 1. 14:45

Kritikus sebezhetőség bukkant fel a TP-Link okosotthon-routerében

A tetszőleges kódfuttatást engedő hibát a Google biztonsági szakértője találta meg, és jelezte a gyártónak - utóbbi viszont másfél hónap után sem javította azt.

Kritikus, zero-day sebezhetőséget csípett el a TP-Link egyik routerében Matthew Garrett, a Google biztonsági szakértője: a gyártó SR20 routerében található sérülékenység tetszőleges kódfuttatást tesz lehetővé a potenciális támadók számára. A szakértő jelezte a hibát a TP-Link felé, a vállalat ugyanakkor ígérete ellenére 90 nap után sem lépett a hiba orvoslása felé, így a Garrett Twitteren nyilvánosan is beszámolt a sebezhetőségről.

A szóban forgó SR20 modell egyébként nem mezei router, az egyben érintőkijelzővel felszerelt okosotthon-központként is funkcionál, és a megszokott 2,4, illetve 5 gigahertzes Wi-Fi mellett a Z-Wave és ZigBee szabványokat is támogat, amelyekkel egy sor okosotthon-kiegészítővel tud kommunikálni, amelyeket a felhasználók a cég mobilappján keresztül is vezérelhetnek.

tplinksr20

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A routerben található sebezhetőség a gyártó több modelljében is alkalmazott, "tddp" (TP-Link Device Debug Protocol) folyamatban található, amely nevének megfelelően a debugging feladatokért felel, és amelyet a készülékek root jogosultságok mellett futtatnak. Ugyanebben a folyamatban biztonsági szakértők Garrett szerint már korábban is több sérülékenységet találtak. A tddp kétféle parancsvégrehajtásra képes, ezek egyikéhez pedig, mint kiderült, nincs szükség a felhasználó azonosítására. A sebezhetőség is ez utóbbira támaszkodik, egy megfelelően preparált konfigurációs fájllal lényegében teljesen átvehető a kontroll az adott hálózat fölött.

Ahogy Garrett is kiemeli, a gyártóknak érdemes lenne elkerülni a hasonló debug folyamatok mellékelését az éles használatra szánt szoftververzióknál - illetve nem utolsó sorban válaszolni a biztonsági jelentésekre, főleg ha már a vállalat fenntart azoknak egy dedikált webes felületet. A szakértő blogposztjában a sérülékenység részletes leírása mellett egy proof-of-concept kódot is közzétett amely annak kiaknázását illusztrálja.

A TP-Link továbbra sem reagált az ügy kapcsán, így nem tudni, elkezdett-e már dolgozni a sebezhetőség javításán. Az biztonsági rés publikálása után mindenesetre a vállalatnak jó lesz különösen tempósan orvosolnia a problémát. A szóban forgó, SR20 modellt egyébként a gyártó Magyarországon egyelőre nem forgalmazza, így a hazai közönséget jó eséllyel nem érinti komolyan a probléma.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról