研究人员发现小型企业用路由器企业TP-Link二款产品存在远程程序代码执行(remote code execution,RCE)及资讯泄露漏洞,而且目前还没有修补程序。
卡内基梅隆大学计算机网络危机处理暨协调中心(CERT Coordination Center,CERT/CC)公告由微软研究人员James Hull发现的二款漏洞,存在于TP-Link小型企业适用的路由器固件,产品型号分别是150Mbps的WR710N-V1-151022及双频无线路由器Archer C5 V2。其中WR710N-V1-151022问题固件为2015年10月22日发布的版本,而Archer C5 V2受影响的固件,则为2016年2月1日发布的版本。
两项RCE漏洞分别是CVE-2022-4498及CVE-2022-4499。其中CVE-2022-4498是HTTP基本验证(Basic Authentication)模式中的缓冲溢出漏洞。当系统使用HTTP基本验证时,远程攻击者可发送恶意封包,造成httpd精灵的内存堆积溢出而毁损,导致httpd程序的拒绝服务(denial of service,DoS),或是让攻击者远程执行任意程序代码。CVE-2022-4498 CVSS 3.1风险值高达9.8。
CVE-2022-4499则是发生在httpd精灵的strcmp函数中的旁路攻击(side-channel attack)漏洞。攻击者可借由测量验证用户名和密码凭证过程的反应时间,而猜出用户名、密码的每个字符,这就可能造成资讯泄露。CVE-2022-4499 CVSS 3.1风险值为7.5。
CERT/CC说,目前尚未发现有可用的解决方案。这显然需要TP-Link发布固件更新。不过CERT/CC说,他们在去年11月2日通知厂商后,截至今年1月17日还没接获回应。
