Zraniteľné smerovače spoločnosti TP-Link môžu umožniť zneužitie DNS a odcudzenie prístupových údajov
Upozorňujeme organizácie, aby preverili, či sa pri vzdialenom prístupe do interných systémov nepoužívajú zraniteľné alebo nepodporované smerovače SOHO. Podľa varovania FBI a partnerov útočníci zneužívali kompromitované smerovače na zmenu DHCP a DNS nastavení, čím presmerovali DNS dopyty na vlastné prekladače a následne vedeli cielene podvrhnúť odpovede pre vybrané služby. Takto mohli zachytávať prihlasovacie údaje, tokeny a ďalšie citlivé údaje, najmä ak používateľ pokračoval aj po upozornení na chybu certifikátu. Medzi zneužívané zariadenia patrili aj smerovače TP-Link obsahujúce zraniteľnosť CVE-2023-50224.
IC3 vo varovaní neuvádza jeden konkrétny model, iba všeobecne „smerovače TP-Link zraniteľné na CVE-2023-50224“. Výrobca TP-Link následne spresnil, že ide o viaceré staršie modely po ukončení podpory, pričom medzi explicitne uvádzané patria napríklad TL-WR841N / TL-WR841ND a Archer C7. V novšom bezpečnostnom oznámení TP-Link sú medzi dotknutými zariadeniami uvedené aj ďalšie zastarané (angl. legacy) modely, napríklad TL-MR6400, Archer C5, TL-WDR3600, TL-WDR4300, TL-WR740N, TL-WR741ND, TL-WR840N, TL-WR941ND, TL-WA801ND a TL-WA901ND.
Dopad na Slovensko:
Riziko je relevantné najmä pre organizácie, ktorých zamestnanci pristupujú k e-mailu, VPN alebo interným webovým aplikáciám z domácich alebo malých kancelárskych sietí. Pri tomto type útoku nemusí byť prvým prejavom kompromitácie malvér na stanici, ale zmena sieťových parametrov na okraji siete, preto je dôležité pozerať sa na DNS a DHCP ako na detekčné body.
Odporúčania:
Pokiaľ organizácia používa na vstup do danej siete predsa len modely obsahujúce danú zraniteľnosť, odporúčame z pohľadu bezpečnostného monitoringu sledovať anomálie v DNS premávke. Prakticky to znamená overiť, či stanice neposielajú DNS požiadavky na iné IP adresy, než povoľuje politika organizácie (organizácia využíva konkrétne DNS servery), či sa neobjavili nové externé prekladače (angl. resolver), alebo či sa nemení smer DNS komunikácie po pripojení používateľa z domácej siete prostredníctvom daného zariadenia. Tento prístup je primeraný práve preto, že podstatou útoku je práve zmena DNS servera za DNS server útočníka.
Odporúčame tiež cielene preveriť varovania na certifikáty pri prihlásení do webmailu, VPN portálov a interných webových aplikácií. IC3 konkrétne uvádza, že podvodné DNS odpovede boli používané aj pre Microsoft Outlook Web Access a že útok bol účinný vtedy, keď používateľ pokračoval aj napriek chybnému certifikátu. Preto je potrebné v prípade výskytu zariadenia korelovať výskyt premávky DNS s chybami v rámci certifikátov.
Ak chce organizácia tento problém preveriť rýchlo, mala by začať tromi krokmi:
- Najprv zistiť, či vzdialení používatelia alebo pobočky nepoužívajú zraniteľné modely TP-Link a iné nepodporované SOHO smerovače.
- Potom overiť, aké DNS nastavenia dostávajú klienti cez DHCP.
- Skontrolovať v logoch firewallu, DNS alebo EDR, či sa neobjavila komunikácia na neautorizované DNS servery alebo zvýšený výskyt upozornení pri zmene certifikátoch pri prístupe k firemným službám.
Ak sa takáto odchýlka potvrdí, je vhodné dotknutý smerovač považovať za kompromitovaný alebo minimálne nedôveryhodný a ďalej preveriť jeho konfiguráciu a incident nahlásiť svojej jednotke CSIRT.
Zdroje:
https://nvd.nist.gov/vuln/detail/cve-2023-50224
https://www.ic3.gov/PSA/2026/PSA260407