Phát hiện lỗ hổng định danh trên router TP-Link

Lỗ hổng CVE-2024-57040 xuất phát từ việc mật khẩu root được mã hóa bằng MD5 nhưng lại lưu trữ trong các tệp firmware có thể truy cập công khai. Điều này khiến tin tặc dễ dàng giải mã và giành quyền truy cập vào thiết bị. Các phiên bản firmware bị ảnh hưởng bao gồm: TL-WR845N(UN)_V4_190219; TL-WR845N(UN)_V4_200909; TL-WR845N(UN)_V4_201214.

Các thông tin đăng nhập nhạy cảm này được lưu dưới dạng plaintext trong các tệp firmware sau: squashfs-root/etc/passwd; squashfs-root/etc/passwd.bak.

Lỗ hổng này cho phép tin tặc có thể chiếm quyền kiểm soát hoàn toàn hệ thống, sửa đổi firmware, cài đặt mã độc (backdoor) và theo dõi toàn bộ lưu lượng mạng. Cùng với đó, khi đã kiểm soát router, kẻ tấn công có thể leo thang đặc quyền, xâm nhập vào các thiết bị khác trong cùng mạng LAN, gây rủi ro lớn cho hệ thống. Ngoài ra, nếu kết hợp với các lỗ hổng truy cập từ xa khác, tin tặc có thể giành quyền điều khiển router từ internet mà không cần truy cập vật lý.

Hiện tại, TP-Link vẫn chưa phát hành bản vá bảo mật chính thức, để bảo vệ thiết bị khỏi nguy cơ tấn công, người dùng cần bảo vệ mình bằng cách sử dụng mật khẩu mạnh, duy nhất và không trùng lặp với các tài khoản khác. Đặt router ở vị trí an toàn để ngăn chặn tin tặc trích xuất dữ liệu từ bộ nhớ flash SPI. Bên cạnh đó, vô hiệu hóa các giao diện quản lý từ xa nếu thấy không thực sự cần thiết và kiểm tra thường xuyên để phát hiện các dấu hiệu truy cập trái phép.