พบช่องโหว่ร้ายแรงบนเราเตอร์ TP-Link

นักวิจัยด้านความปลอดภัยเพิ่งค้นพบช่องโหว่ร้ายแรงในเราเตอร์ TP-Link ดังกล่าว ซึ่งทำให้แฮกเกอร์จากระยะไกลสามารถเจาะระบบได้อย่างสมบูรณ์ ช่องโหว่นี้ระบุชื่อ CVE-2024-5035 และมีระดับความรุนแรงสูงสุดที่เป็นไปได้ (10) ในระบบให้คะแนนช่องโหว่ทั่วไป (Common Vulnerability Scoring System: CVSS) ช่องโหว่ที่ได้คะแนน 10 ถือว่าพบได้ยากมาก โดยช่องโหว่ร้ายแรงส่วนใหญ่มีคะแนนสูงสุดอยู่ที่ 9.8

ปัญหาเกี่ยวกับเราเตอร์ TP-Link อยู่ที่บริการเครือข่ายที่เรียกว่า "rftest" ซึ่งเราเตอร์เปิดอยู่บนพอร์ต TCP 8888, 8889 และ 8890 โดยการใช้ประโยชน์จากบริการนี้ ผู้โจมตีที่ไม่ได้รับการรับรองสามารถแทรกคำสั่งที่เป็นอันตรายและได้รับสิทธิ์ในการรันโค้ดจากระยะไกลเต็มรูปแบบบนอุปกรณ์ที่มีช่องโหว่ได้

“ด้วยการใช้ช่องโหว่นี้สำเร็จ ผู้โจมตีจากระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถสั่งการอุปกรณ์โดยไม่ได้รับอนุญาตด้วยสิทธิ์ที่สูงกว่าได้” บริษัท ONEKEY (เยอรมนี) ซึ่งเป็นผู้ค้นพบช่องโหว่นี้เป็นครั้งแรก กล่าว นับเป็นฝันร้ายสำหรับเกมเมอร์และผู้ใช้เราเตอร์ TP-Link ดังกล่าว ในทางทฤษฎี แฮกเกอร์ผู้เชี่ยวชาญสามารถแทรกมัลแวร์หรือแม้แต่เจาะระบบเราเตอร์เพื่อเปิดฉากการโจมตีเครือข่ายของเหยื่อเพิ่มเติมได้

นักวิจัยของ ONEKEY ระบุว่า แม้ว่า "rftest" จะอนุญาตเฉพาะคำสั่งกำหนดค่าระบบไร้สายที่ขึ้นต้นด้วย "wl" หรือ "nvram get" เท่านั้น แต่ก็สามารถข้ามคำสั่งเหล่านี้ได้อย่างง่ายดาย เพียงแค่แทรกคำสั่งเชลล์มาตรฐาน เช่น "wl;id;" (หรืออักขระที่ไม่ใช่เครื่องหมายอัฒภาค เช่น เครื่องหมายขีดกลางหรือเครื่องหมายแอมเพอร์แซนด์) พวกเขาพบว่าผู้ไม่ประสงค์ดีสามารถรันโค้ดใดๆ ก็ได้ที่ต้องการบนเราเตอร์ที่ถูกบุกรุก

ONEKEY คาดการณ์ว่า TP-Link อาจรีบเร่งเผยแพร่ API "rftest" นี้โดยไม่ได้รักษาความปลอดภัยอย่างเหมาะสม ซึ่งเป็นสาเหตุของช่องโหว่การรันโค้ดจากระยะไกล ช่องโหว่นี้ส่งผลกระทบต่อเฟิร์มแวร์ Archer C5400X ทุกเวอร์ชันจนถึงเวอร์ชัน 1.1.1.6 ปัจจุบัน TP-Link ได้เผยแพร่เฟิร์มแวร์ 1.1.1.7 เพื่อแก้ไขข้อบกพร่องด้านความปลอดภัยนี้แล้ว

ดังนั้น หากคุณมีเราเตอร์รุ่นนี้อยู่ที่บ้าน ให้เข้าสู่ระบบหน้าผู้ดูแลระบบของเราเตอร์และตรวจสอบการอัปเดต หรือดาวน์โหลดและติดตั้งเฟิร์มแวร์ 1.1.1.7 ด้วยตนเองจากหน้าสนับสนุนของ TP-Link