Google Dev entdeckt Zero-Day-Schwachstelle in TP-Link Smart Home Routern

Google Dev entdeckt Zero-Day-Schwachstelle in TP-Link Smart Home Routern

Google Dev entdeckt Zero-Day-Schwachstelle in TP-Link Smart Home Routern

(Quelle: Kaspersky Lab)
1. April 2019 -  Der SR20 Smart Home Router von TP-Link ist von einer Zero-Day-Schwachstelle betroffen, die Hackern Arbitrary Command Execution (ACE) über eine lokale Netzwerkverbindung ermöglichen würde.
Eine Zero-Day-Schwachstelle, die TP-Links Smart Home Router SR20 betrifft, wurde öffentlich bekannt gemacht, nachdem das Unternehmen angeblich nicht auf die private Offenlegung eines Forschers reagiert hat, so berichtet unter anderem "Zdnet".

Matthew Garrett, ein Google-Sicherheitsingenieur, enthüllte den Fehler, nachdem TP-Link das Problem nicht innerhalb von 90 Tagen behoben hatte, ein Zeitrahmen, der mittlerweile innerhalb der Cybersecurity-Gemeinde festgelegt wurde und als eine angemessene Zeitspanne angesehen wird, die den Anbietern angeboten wird, um gemeldete Sicherheitsprobleme zu beheben.

Dabei handelt es sich um eine Zero-Day-Sicherheitslücke, die Arbitrary Code Execution (ACE) in den betroffenen Geräten erlaubt, bei denen es sich um Dual-Band 2,4 GHz / 5 GHz-Router handelt. Wie in diesem Twitter-Gesprächsfeed dokumentiert, hat Garrett seine Ergebnisse vor mehr als 90 Tagen über das Online-Sicherheitsoffenlegungsformular des Unternehmens an TP-Link weitergegeben.

Laut Garrett liegt das Problem in einem Prozess, den TP-Link-Router häufig als tddp (TP-Link Device Debug Protocol) ausführen. Dieser Prozess läuft auf einer Root-Ebene und kann zwei Formen von Befehlen initiieren: einen Typ, der keine Authentifizierung erfordert - Typ eins - und einen, der als Typ zwei kategorisiert ist.

Die Schwachstelle des SR20-Routers offenbart einige Befehle vom Typ eins, von denen einer - Befehl 0x1f, Anforderung 0x01 - für die Konfigurationsprüfung verwendet wird. Weitere technische Details zur Schwachstelle wurden in einem Blogbeitrag des Security Engineers veröffentlicht. Auch der Proof-of-Concept (PoC)-Code wurde freigegeben. (swe)
Weitere Artikel zum Thema
 • Stationäre und mobile 4G-Router
 • Cisco patcht kritisches Leck in Routern
 • IT-Outsourcing bietet hohe Flexibilität im Unternehmen
 • CES: Neue KMU-Produkte von Netgear

Vorherige News
 
Nächste News

Neuen Kommentar erfassen

Kommentare werden vor der Freischaltung durch die Redaktion geprüft.
Anti-Spam-Frage Welche Farbe hatte Rotkäppchens Kappe?
Antwort
Name
E-Mail
NEWSLETTER ABONNIEREN
Abonnieren Sie unseren täglichen Newsletter mit den wichtigsten ICT-Meldungen
SWISS IT MAGAZINE - AUSGABE 2019/07
Schwerpunkt: Managed Document Services 2019
• Dokumente verwalten von MDS bis EIM
• ECM ist in der Schweiz ein Wachstumsmarkt
• MDS - Basis für den Wandel zum modernen Arbeitsplatz?
• Die Datensilos müssen weg
• Strategien für ein effizientes Output Management
Zum Inhaltsverzeichnis
SPONSOREN & PARTNER