TP-Link hat eine kritische Sicherheitslücke im beliebten Archer C5400X Gaming-Router behoben, die es nicht authentifizierten, entfernten Angreifern ermöglichte, Befehle auf dem Gerät auszuführen. Der High-End Tri-Band Gaming-Router, der für seine robuste Leistung und fortschrittlichen Funktionen bei Gamern und für andere anspruchsvolle Anwendungen bekannt ist, war von einem schwerwiegenden Sicherheitsproblem betroffen, das zu Router-Hijacking, Datenabfang, Änderung der DNS-Einstellungen und potenziellen Einbrüchen in interne Netzwerke führen konnte.

Details zur Sicherheitslücke

Die Schwachstelle, bekannt unter der Kennung CVE-2024-5035 mit einem CVSS v4-Score von 10.0 („kritisch“), wurde von Analysten bei OneKey durch binäre statische Analyse identifiziert. Die Forscher stellten fest, dass das ‚rftest‘-Binary einen Netzwerkdienst auf den TCP-Ports 8888, 8889 und 8890 bereitstellt, der anfällig für Befehlsinjektionen und Pufferüberläufe ist. Der ‚rftest‘-Dienst führt auf diesen Ports einen Netzwerk-Listener aus, um Selbstbewertungen der drahtlosen Schnittstelle und verwandte Aufgaben durchzuführen.

Ein Angreifer könnte durch das Senden speziell gestalteter Nachrichten an diese Ports mittels Shell-Metazeichen, die zur besseren Funktionskontrolle in Befehlszeilenshells verwendet werden, willkürliche Befehle mit erhöhten Privilegien ausführen. Shell-Metazeichen wie Semikolons, Kaufmanns-Unds und Pipes können jedoch auch missbraucht werden, wenn die Benutzereingaben nicht ordnungsgemäß bereinigt werden, um unbefugte Aktionen zu verhindern.

Verfügbarkeit des Fixes

Da die genannten Ports in der Standardkonfiguration des Routers offen und aktiv vom ‚rftest‘-Dienst genutzt werden, betraf diese Sicherheitslücke alle Nutzer des Geräts, die die anfälligen Firmware-Versionen bis einschließlich 1.1.1.6 verwendeten. OneKey-Analysten meldeten ihre Erkenntnisse am 16. Februar 2024 an TP-Links PSIRT, während der Hersteller am 10. April 2024 einen Beta-Patch bereit hatte.

Die Sicherheitsaktualisierung wurde schließlich in der letzten Woche, am 24. Mai 2024, mit der Veröffentlichung von Archer C5400X(EU)_V1_1.1.7 Build 20240510 veröffentlicht, die CVE-2024-5035 wirksam adressiert. Die implementierte Lösung bestand darin, alle Befehle zu verwerfen, die Shell-Metazeichen enthalten, sodass diese in allen eingehenden Nachrichten herausgefiltert werden.

Nutzern wird empfohlen, das Firmware-Update von TP-Links offiziellem Download-Portal herunterzuladen oder das Admin-Panel ihres Routers zu verwenden, um das Update durchzuführen.