Các nhà nghiên cứu bảo mật gần đây phát hiện ra một lỗ hổng nghiêm trọng trên router nói trên của TP-Link cho phép tin tặc từ xa có thể xâm phạm hoàn toàn thiết bị. Lỗ hổng có mã CVE-2024-5035 đạt mức nghiêm trọng cao nhất có thể (10) trên Hệ thống chấm điểm lỗ hổng chung (CVSS). Các lỗ hổng có điểm 10 là cực kỳ hiếm, với hầu hết các lỗi nghiêm trọng đều đạt tối đa 9,8.
Vấn đề với router TP-Link nằm ở dịch vụ mạng có tên "rftest" mà router hiển thị trên các cổng TCP 8888, 8889 và 8890. Bằng cách khai thác dịch vụ này, kẻ tấn công không được xác thực có thể chèn các lệnh độc hại và giành được toàn bộ đặc quyền thực thi mã từ xa trên thiết bị dễ bị tấn công.
Công ty đầu tiên phát hiện ra lỗ hổng, ONEKEY (Đức) cho biết: "Bằng cách khai thác thành công lỗ hổng này, những kẻ tấn công không được xác thực từ xa có thể thực thi lệnh tùy ý trên thiết bị với các đặc quyền nâng cao". Đó là một kịch bản ác mộng đối với các game thủ và bất kỳ ai khác sử dụng router TP-Link nói trên. Về lý thuyết, một hacker lành nghề có thể tiêm phần mềm độc hại hoặc thậm chí xâm phạm router để làm bệ phóng cho các cuộc tấn công tiếp theo vào mạng của nạn nhân.
Theo các nhà nghiên cứu của ONEKEY, mặc dù "rftest" chỉ cho phép các lệnh cấu hình không dây bắt đầu bằng "wl" hoặc "nvram get" nhưng chúng có thể được bỏ qua dễ dàng. Bằng cách đơn giản chèn các lệnh shell tiêu chuẩn như "wl;id;" (hoặc các ký tự khác dấu chấm phẩy như dấu gạch đứng hoặc ký hiệu), họ nhận thấy những kẻ xấu có thể thực thi hầu như bất kỳ mã nào chúng muốn trên router bị tổn thương.
Suy đoán của ONEKEY cho biết TP-Link có thể đã vội vàng tung ra API "rftest" này mà không bảo mật nó đúng cách là nguyên nhân gây ra một lỗ hổng thực thi mã từ xa. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản firmware của Archer C5400X lên đến 1.1.1.6. Hiện tại TP-Link đã phát hành firmware 1.1.1.7 nhằm vá lỗi bảo mật này.
Vì vậy, nếu có một trong những router này ở nhà, người dùng hãy đăng nhập vào trang quản trị router và kiểm tra các bản cập nhật. Ngoài ra, hãy tải xuống và cài đặt thủ công firmware 1.1.1.7 từ trang hỗ trợ của TP-Link.