Remote Command Execution im Router TP-Link Archer C5400X möglich

Im Rahmen der Tests und Validierungen unserer neuen Zero-Day-Erkennungsfunktion identifizierten wir zahlreiche Schwachstellen, darunter auch auf dem TP-Link Archer C5400X Tri-Band Gaming Router. Diese Entdeckung folgt auf ähnliche Offenlegungen wie bei Cisco WAP321 und wird unter CVE-2024-5035 gelistet. Verwundbbar sind alle Versionen < 1_1.1.7.

Beim TP-Link Archer C5400X wird während der Initialisierungssequenz ein binäres Programm namens rftest gestartet, das einen Netzwerkdienst bereitstellt, der anfällig für nicht authentifizierte Command Injection ist. Ein erfolgreicher Angriff kann zu beliebigen Befehlsausführungen mit erhöhten Rechten führen.
Die Command Injection wurde durch eine statische Analysepipeline entdeckt. Der Netzwerkdienst rftest hört auf den TCP-Ports 8888, 8889 und 8890 und verarbeitet Befehle, die mit “wl” oder “nvram get” beginnen. Durch die Verwendung von Shell-Metazeichen wie ;, & oder | kann diese Begrenzung umgangen werden, was zu einer Command Injection führt.

Related Posts

RCE Schwachstellen in Adobe Acrobat und Reader gefunden

Adobe hat am 14. Mai 2024 ein bedeutendes Sicherheitsupdate für Adobe Acrobat und Reader für Windows und macOS veröffentlicht. Dieses Update behebt mehrere kritische Schwachstellen, die es Angreifern ermöglichen könnten, beliebigen Code auszuführen. Nutzer sollten ihre Installationen dringend aktualisieren, um die Risiken zu minimieren. Da .pdf Anhänge besonders in Phishing Kampagnen beliebt sind, ist erhöhte Vorsicht beim Öffnen von Email Anhängen geboten

Read More

D-Link D-View 8: Hardcoded Crypto-Keys und RCE Lücken gefunden

Am 14. Mai 2024 wurden mehrere schwerwiegende Sicherheitslücken in der Netzwerkmanagementplattform D-Link D-View 8.0 veröffentlicht. Diese Schwachstellen, die ursprünglich am 24. August 2023 von TrendMicro’s Zero Day Initiative (ZDI) gemeldet wurden, betreffen die Version 2.0.1.89 und frühere Versionen. Die Schwachstellen ermöglichen es Angreifern, beliebigen Code auszuführen oder Authentifizierungsmechanismen zu umgehen, was schwerwiegende Auswirkungen auf die Systemsicherheit hat. Die folgenden CVE-Nummern und Beschreibungen geben detaillierte Informationen zu den einzelnen Schwachstellen:

Read More

Phishing Trends: Cloudflare Workers und HTML Smuggling

Cybersecurity-Forscher von Netskope Threat Labs warnen vor Phishing-Kampagnen, die Cloudflare Workers missbrauchen, um Phishing-Seiten bereitzustellen, die Benutzerdaten von Microsoft, Gmail, Yahoo! und cPanel Webmail erbeuten. Cloudflare Workers ist eine serverlose Plattform, die von Angreifern missbraucht wird, um Phishing-Seiten bereitzustellen. Diese Phishing-Kampagnen zielen hauptsächlich auf die Bereiche Technologie, Finanzdienstleistungen und Banken ab. Diese Methode, bekannt als Adversary-in-the-Middle (AitM) Phishing, verwendet die Cloudflare Workers als Reverse-Proxy-Server für eine legitime Login-Seite, um den Datenverkehr zwischen dem Opfer und der Login-Seite abzufangen und Anmeldeinformationen, Cookies und Tokens zu erfassen.

Read More