Mega Sekurak Hacking Party w Krakowie! 20.10.2025 r. Bilety -30%
Ataki na popularne routery TP-Link
Cybersecurity and Infrastructure Security Agency (CISA) dodała informację o atakach na routery TP-Link do katalogu znanych, wykorzystywanych podatności (baza KEV). Wszystko za sprawą podatności oznaczonej symbolem CVE-2023-33538, która pozwala na wstrzykiwanie poleceń.
Routery TP-Link TL-WR841N oraz TL-WR740N czyli popularne “mydelniczki” zdobyły popularność w Polsce z uwagi na niewygórowaną cenę oraz dobry stosunek jakości do ceny. Nie bez znaczenia była też pewnie możliwość użycia otwartego oprogramowania OpenWrt w niektórych wersjach. Są popularne od lat, ale – mimo braku wsparcia dla najnowszych standardów – nadal cieszą się popularnością. Widać to w statystykach sprzedaży popularnym sklepie internetowym.
Niestety, pod podanymi wyżej modelami ukrytych jest wiele wersji sprzętu i oprogramowania. Rekordzistą jest tu chyba TL-WR841N, z ponad dziesięcioma wersjami, wg strony OpenWrt. Część z nich nie jest wspierana przez producenta i niestety właśnie one okazały się podatne. Oznacza to, że nie możemy liczyć na poprawienie błędów.
Opisywana podatność dotyczy modeli TP-Link TL-WR940N V2/V4, TL-WR841N V8/V10, oraz TL-WR740N V1/V2.
Co robić w tej sytuacji?
Niestety, użycie OpenWrt nie będzie raczej możliwe – projekt także zakończył wsparcie modelu TL-WR841N z uwagi na ograniczenia pamięci RAM oraz flash. Hobbyści mogą tworzyć własne, okrojone obrazy OpenWrt, bez zarządzania w trybie GUI, ale nie jest to rozwiązanie dla przeciętnego użytkownika.
Idealnym rozwiązaniem z punktu widzenia bezpieczeństwa jest wymiana sprzętu na posiadający wsparcie. Tym bardziej, że opisywane modele nie posiadają choćby wsparcia dla pasma 5 GHz.
Jeśli z jakichś powodów jest to niemożliwe, lub sprzęt jest używany tymczasowo lub tylko w zaufanym środowisku, należy przynajmniej upewnić się, że panel zarządzania nie jest dostępny z sieci publicznej za pośrednictwem interfejsu WAN. Ograniczy to wektor ataku do urządzeń w sieci LAN, podłączonych bezpośrednio do routera.
Ponieważ podatność wymaga uwierzytelnienia, warto też zabezpieczyć dostęp do interfejsu zarządzania przy pomocy silnego hasła. Tutaj znajdziecie szczegółowe zalecenia CERT NASK dotyczące haseł.
Czytelników zainteresowanych szczegółami podatności odsyłamy do archiwalnego PoC.
~Paweł Różański
Jest openwrt 18.06 na urzadzenia z 4mb flashu. Uzywam od paru lat z wlasnymi regułami w iptables robiacymi z routera ducha z obsluga natu. Nasa nie wejdzie, nawet pinga nie przepusci. Uptime to maja ponad 1000 dni bez zwiechy pod upsem. Stare dobre atherosy przed wchlonieciem przez qualcoma blackrock i sterowniki na linux bez bloba. Najlepsze sprzety.
Znana od dwóch lat podatność na routerze wymagająca dostępu do panelu administracyjnego. Szybcy nie są.
Dobrze natomiast, że taka informacja ląduje ostatecznie na stoły urzędów i organizacji, które jakieś tam standardy muszą spełniać. Tym routerom przyda się już wymiana pokoleniowa.
Zatem producent od dwóch lat sprzedaje ten router pomimo wiedzy, że nie jest on zabezpieczony. Czyli celowo i umyślnie zostawił backdoora, którym współpracujące z producentem nieokreślone strony mogą wejść. Czyli ten router nie jest tańszy, ponieważ do jego podstawowego kosztu należy doliczyć koszt zbieranych informacji o aktywności użytkownika przez strony niewymienione przez producenta. Producent, firma TP-Link kłamie zatem co do rzeczywistego kosztu urządzenia, czym obniża jego cenę na paragonie lub fakturze i uwaga… UISZCZA MNIEJSZY PODATEK VAT, CZYM DZIAŁA NA SZKODĘ SKARBU PAŃSTWA POLSKIEGO. Firma TP-Link popełnia przestępstwo skarbowe przeciwko nam wszystkim Polakom.
Dane kosztują, każdy dobrze o tym wie. Zatem na paragonie lub fakturze powinna być umieszczona kwota jaka odpowiada kosztowi danych zebranych przez bliżej nieokreślone strony, oraz kwota podatku VAT odpowiednia dla sprzedaży danych. W interesie firmy TP-Link powinno być ustalenie tych kwot, lub załatanie sprzętu po wykryciu luki w zabezpieczeniach, lub zaprzestania sprzedaży urządzenia. Firma TP-Link tego nie zrobiła, więc powtarzam, firma TP-Link popełnia przestępstwo skarbowe od 2 lat przeciwko Polsce, czyli przeciwko wszystkim Polakom.