Ciberseguridad 360 | TP-Link soluciona una vulnerabilidad crítica de RCE en el popular router gaming C5400X

El router para juegos TP-Link Archer C5400X es vulnerable a fallos de seguridad que podr�an permitir a un atacante remoto no autenticado ejecutar comandos en el dispositivo.

El TP-Link Archer C5400X es un router para juegos tribanda de gama alta dise�ado para proporcionar un rendimiento robusto y funciones avanzadas para juegos y otras aplicaciones exigentes, y bas�ndose en el n�mero de opiniones de usuarios que el producto tiene en las tiendas en l�nea, parece ser una opci�n popular entre los jugadores.

La ejecuci�n arbitraria de comandos en los routers puede conducir al secuestro de los mismos, la interceptaci�n de datos, el cambio de la configuraci�n DNS y, potencialmente, la violaci�n de las redes internas.

Detalles de la vulnerabilidad

El fallo en el TP-Link Archer C5400X se rastrea como CVE-2024-5035 (puntuaci�n CVSS v4: 10.0, �cr�tico�) y fue identificado por los analistas de OneKey mediante un an�lisis est�tico binario.

Los investigadores descubrieron que el binario 'rftest' expone un servicio de red vulnerable a la inyecci�n de comandos y desbordamientos de b�fer en los puertos TCP 8888, 8889 y 8890.

El servicio �rftest� ejecuta una escucha de red en estos puertos para realizar la autoevaluaci�n de la interfaz inal�mbrica y otras tareas relacionadas.

Un atacante que utilice metacaracteres de shell puede enviar mensajes especialmente dise�ados a estos puertos, consiguiendo potencialmente la ejecuci�n de comandos arbitrarios con privilegios elevados.

Los metacaracteres de shell son caracteres especiales como el punto y coma, los ampersands y las tuber�as que se utilizan para un mejor control de las funciones en los shells de l�nea de comandos. Sin embargo, tambi�n se puede abusar de ellos para ejecutar comandos cuando la entrada del usuario no se desinfecta correctamente para evitar acciones no autorizadas.

Inyecci�n de ID de comando a trav�s del puerto 8888

Soluci�n disponible

Como los puertos mencionados est�n abiertos y son utilizados activamente por el servicio 'rftest' en la configuraci�n por defecto del router, afectan a todos los usuarios del dispositivo que utilicen las versiones de firmware vulnerables, hasta la 1.1.1.6.

Los analistas de OneKey informaron de sus hallazgos al PSIRT de TP-Link el 16 de febrero de 2024, mientras que el vendedor ten�a listo un parche beta para el 10 de abril de 2024.

Finalmente, la actualizaci�n de seguridad lleg� a finales de la semana pasada, el 24 de mayo de 2024, con el lanzamiento de Archer C5400X(EU)_V1_1.1.7 Build 20240510, que soluciona de forma efectiva la CVE-2024-5035.

La soluci�n implementada fue descartar cualquier comando que contenga metacaracteres de shell, por lo que estos se filtran en todos los mensajes entrantes.

Se recomienda a los usuarios que descarguen la actualizaci�n del firmware desde el portal de descargas oficial de TP-Link o que utilicen el panel de administraci�n de su router para realizar la actualizaci�n.

Fuente: bleepingcomputer