TP-Link: Schadcode-Schmuggel durch Sicherheitslücke in Routern

In der Administrationsoberfläche des günstigen WLAN-Routers TL-WR841N versteckt sich eine Sicherheitslücke, die Angreifern die Ausführung eigenen Codes erlaubt. Forscher des vietnamesischen Telekommunikationsunternehmens Viettel haben einen Fehler gefunden, mit denen ein authentifizierter Angreifer Backdoors oder Würmer auf den Geräten installierten könnte. TP-Link hat Firmware-Updates bereitgestellt.

Hoch riskante Schwachstelle

Mit einem Buffer Overflow in der Web-GUI (CVE-2022-30024, CVSS-Wert 8.8, Risiko "hoch") können sich authentifizierte Nutzer auf dem TP-Link TL-WR841N eine Backdoor verschaffen. Der Angriff richtet sich gegen einen Fehler der Parameterverarbeitung beim webbasierten Ping-Tool, das TP-Link zur Fehlersuche in der Router-Firmware eingebaut hat. Übergibt man diesem eine überlange Hostadresse, läuft ein interner Puffer über und erlaubt mit einigen Tricks die Ausführung beliebigen Codes wie einer Shell.

Da der Angriff nur von einem Nutzer ausgeführt werden kann, der in der Weboberfläche angemeldet ist, müssten für einen Exploit aus der Ferne einige zusätzliche Bedingungen erfüllt sein. Es ist aber denkbar, dass findige Botnet-Betreiber ihn in Verbindung mit anderen Attacken nutzen, um ihre IoT-Armee zu vergrößern.

In der Vergangenheit haben etwa Betreiber von Botnets wie Cyclops Blink derartige Schwachstellen in Routern mehrerer Hersteller angegriffen. Dort hatten die Cybergangs zunächst WatchGuard-Firewalls im Visier, um wenig später Sicherheitslücken in Asus-Routern zu missbrauchen.

Die Forscher von Viettel stellen in einer Sicherheitsmeldung Details zu den Schwachstellen und den Exploit vor. Demzufolge sind die Hardware-Revisionen V12 und älter betroffen. TP-Link hat den Fehler jedoch zur Stunde lediglich für Revision V12 behoben und die Firmware-Version V12_220802 bereitgestellt. Besitzer älterer Geräte schauen in die Röhre.

(dmk)