Im Rahmen der Tests und Validierungen unserer neuen Zero-Day-Erkennungsfunktion identifizierten wir zahlreiche Schwachstellen, darunter auch auf dem TP-Link Archer C5400X Tri-Band Gaming Router. Diese Entdeckung folgt auf ähnliche Offenlegungen wie bei Cisco WAP321 und wird unter CVE-2024-5035 gelistet. Verwundbbar sind alle Versionen < 1_1.1.7.
Beim TP-Link Archer C5400X wird während der Initialisierungssequenz ein binäres Programm namens rftest
gestartet, das einen Netzwerkdienst bereitstellt, der anfällig für nicht authentifizierte Command Injection ist. Ein erfolgreicher Angriff kann zu beliebigen Befehlsausführungen mit erhöhten Rechten führen.
Die Command Injection wurde durch eine statische Analysepipeline entdeckt. Der Netzwerkdienst rftest
hört auf den TCP-Ports 8888, 8889 und 8890 und verarbeitet Befehle, die mit „wl“ oder „nvram get“ beginnen. Durch die Verwendung von Shell-Metazeichen wie ;
, &
oder |
kann diese Begrenzung umgangen werden, was zu einer Command Injection führt.