พบช่องโหว่ร้ายแรงบนเราเตอร์ TP-Link

นักวิจัยด้านความปลอดภัยเพิ่งค้นพบช่องโหว่ร้ายแรงในเราเตอร์ TP-Link ดังกล่าว ซึ่งทำให้แฮกเกอร์จากระยะไกลสามารถเข้าถึงอุปกรณ์ได้อย่างสมบูรณ์ ช่องโหว่ที่ติดตามเป็น CVE-2024-5035 มีระดับความรุนแรงสูงสุดที่เป็นไปได้ (10) บน Common Vulnerability Scoring System (CVSS) ช่องโหว่ที่มีคะแนน 10 ถือเป็นช่องโหว่ที่หายากมาก โดยจุดบกพร่องที่ร้ายแรงที่สุดจะมีคะแนนสูงสุดที่ 9.8

ปัญหาเกี่ยวกับเราเตอร์ TP-Link อยู่ที่บริการเครือข่ายที่เรียกว่า "rftest" ซึ่งเราเตอร์จะแสดงบนพอร์ต TCP 8888, 8889 และ 8890 โดยการใช้บริการนี้ ผู้โจมตีที่ไม่ได้รับการรับรองสามารถแทรกคำสั่งที่เป็นอันตรายและได้รับสิทธิ์ในการเรียกใช้โค้ดจากระยะไกลเต็มรูปแบบบนอุปกรณ์ที่เสี่ยงต่อการถูกโจมตีได้

บริษัทแรกที่ค้นพบช่องโหว่นี้ คือ ONEKEY (เยอรมนี) กล่าวว่า "การใช้ประโยชน์จากช่องโหว่นี้สำเร็จจะทำให้ผู้โจมตีจากระยะไกลที่ไม่ผ่านการตรวจสอบสามารถดำเนินการคำสั่งตามอำเภอใจบนอุปกรณ์ด้วยสิทธิ์ที่สูงขึ้นได้" เป็นสถานการณ์ฝันร้ายสำหรับนักเล่นเกมและผู้ใช้เราเตอร์ TP-Link ดังกล่าวข้างต้น ในทางทฤษฎี แฮกเกอร์ที่มีทักษะสามารถฉีดมัลแวร์หรือแม้แต่เจาะระบบเราเตอร์เพื่อเปิดการโจมตีเพิ่มเติมบนเครือข่ายของเหยื่อได้

ตามที่นักวิจัย ONEKEY ได้กล่าวไว้ แม้ว่า "rftest" จะอนุญาตเฉพาะคำสั่งกำหนดค่าไร้สายที่ขึ้นต้นด้วย "wl" หรือ "nvram get" เท่านั้น แต่ก็สามารถข้ามคำสั่งเหล่านี้ได้ง่าย เพียงแค่แทรกคำสั่งเชลล์มาตรฐานเช่น "wl;id;" (หรืออักขระอื่นนอกเหนือจากเครื่องหมายอัฒภาค เช่น เครื่องหมายยัติภังค์ หรือเครื่องหมายแอมเปอร์แซนด์) พวกเขาพบว่าผู้ร้ายสามารถรันโค้ดใดๆ ก็ได้ที่ต้องการบนเราเตอร์ที่ถูกบุกรุก

ONEKEY คาดเดาว่า TP-Link อาจรีบเร่งเปิดตัว API "rftest" นี้โดยไม่ได้รักษาความปลอดภัยอย่างเหมาะสม ซึ่งเป็นสาเหตุของช่องโหว่การเรียกใช้โค้ดจากระยะไกล ช่องโหว่นี้ส่งผลต่อเฟิร์มแวร์ Archer C5400X ทั้งหมดจนถึงเวอร์ชัน 1.1.1.6 ขณะนี้ TP-Link ได้ออกเฟิร์มแวร์ 1.1.1.7 เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยนี้แล้ว

ดังนั้นหากคุณมีเราเตอร์รุ่นนี้อยู่ที่บ้าน โปรดเข้าสู่ระบบหน้าผู้ดูแลระบบเราเตอร์และตรวจสอบการอัปเดต อีกวิธีหนึ่งคือดาวน์โหลดและติดตั้งเฟิร์มแวร์ 1.1.1.7 ด้วยตนเองจากเพจการสนับสนุน TP-Link