TP-Link 路由器被曝严重漏洞：无需密码即可登录

TP-Link 修复了影响 Archer 路由器的某些严重漏洞 CVE-2019-7405，可导致潜在攻击者绕过管理员密码并远程控制经由 Telnet 连接控制的设备。

IBM X-Force Red 团队的研究员 Grzegorz Wypych 表示，“该服务器漏洞如遭利用可导致远程攻击者控制通过局域网 Telnet 连接的路由器配置，并通过局域网或广域网连接到文件传输协议 (FTP)。”

要利用该漏洞，攻击者发送的 HTTP 请求中的字符类型的字符串长度大于所允许的字节数，结果会导致用户密码完全失效并被空值取代。

尽管存在内置验证，但结果依然如此，因为内置验证仅会检查引用的 HTTP 标头，导致攻击者通过使用硬编码的 tplinkwifi.net值诱骗路由器的 httpd 服务认为请求是合法的。

由于这些路由器上的唯一用户类型是具有完整 root 权限的 admin，因此一旦威胁人员绕过认证进程，就会自动获取对路由器的管理员权限。之后，“所有在该权限级别下运行的进程就会导致攻击者以管理员权限运行并接管设备。”

Wypych 表示，“攻击者不仅能够获得访问特权，合法用户也可被锁定并无法通过用户接口登录到 web 服务，因为该页面无法接受任何密码（用户毫无察觉）。在这种情况下，受害者将丢掉控制台的访问权限甚至是 shell，因此无法重新输入新密码。”

更糟糕的是，即使路由器所有人将设置新密码，攻击者也可通过 LAN/WAN/CGI 请求使其无效，导致和内置 FTP 服务器的 USB 连接成为唯一的访问方法。

另外，RSA 密钥也将自动失败，因为它无法针对空密码起作用。

Wypych 解释称，“该缺陷为严重级别，因为它可授予未授权第三方访问路由器的管理员权限，而且这种权限默认适用于所有用户而无需正确的认证。”

他指出，“它对企业造成的风险更大。企业中的这类路由器可被用于启用 guest WiFi。如果被放置到企业网络，遭攻陷的路由器可成为攻击者的入口点以及成为侦察和横向移动技巧的跳转点。”

TP-Link 已发布补丁。用户可下载补丁修复受影版本：

• Archr C5 V4

https://static.tp-link.com/2019/201909/20190917/Archer_C5v4190815.rar

• Archer MR200v4

https://static.tp-link.com/2019/201909/20190903/Archer%20MR200(EU)_V4_20190730.zip

• Archer MR6400v4

https://static.tp-link.com/2019/201908/20190826/Archer%20MR6400(EU)_V4_20190730.zip

• Archer MR400v3

https://static.tp-link.com/2019/201908/20190826/Archer%20MR400(EU)_V3_20190730.zip