ADPT

พบช่องโหว่บนเราเตอร์ TP-Link ล็อกอินได้โดยไม่มีรหัสผ่าน

TP-Link ได้ออกแพตช์ช่องโหว่ร้ายแรงหมายเลข CVE-2019-7405 ซึ่งส่งผลกระทบกับเราเตอร์ Archer หลายรุ่น โดยทำให้คนร้ายสามารถล็อกอินได้แม้ไม่มีรหัสผ่าน

Credit: ShutterStock.com

ไอเดียก็คือคนร้ายสามารถส่ง HTTP Request ที่มีความยาว String เกินกว่าไบต์ที่กำหนด ซึ่งทำให้เกิด Void กับส่วนรหัสผ่านและถูกแทนที่ด้วยค่าว่าง “ทั้งนี้ช่องโหว่สามารถถูกใช้เพื่อควบคุมอุปกรณ์ได้ผ่านทางไกลจาก Telnet ใน LAN และอาจเชื่อมไปยังเซิร์ฟเวอร์ FTP ในระดับ LAN หรือ WAN ก็ได้“– IBM X-Force กล่าว นอกจานี้ด้วยความที่เราเตอร์มีเพียงบัญชีประเภท Admin เท่านั้น ซึ่งถ้าแฮ็กเกอร์เข้ามาได้จริงก็จะนำไปสู่เหตุการณ์อันตรายต่างๆ อย่างเต็มรูปแบบ

สำหรับ TP-Link เองได้ออกแพตช์อุดช่องโหว่ให้เราเตอร์ Archer C5 V4, Archer MR200v4, Archer MR6400v4 และ Archer MR400v3 ไว้แล้ว ผู้ใช้งานสามารถหาดาวน์โหลดได้จากเว็บไซต์ของบริษัท

ที่มา :  https://www.bleepingcomputer.com/news/security/tp-link-router-bug-lets-attackers-login-without-passwords/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Google Cloud เตรียมปรับลดส่วนแบ่งรายได้จากนักพัฒนาลงเหลือ 3%

Google Cloud เตรียมปรับลดส่วนแบ่งรายได้จากนักพัฒนา Third-party Cloud Software ลงจาก 20% เหลือ 3%

Akamai, Imperva ยืนหนึ่งบน Gartner Magic Quadrant ทางด้าน Web Application and API Protection ปี 2021

Gartner บริษัทวิจัยและที่ปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quadrant ทางด้าน Web Application and API Protection ฉบับใหม่ปี 2021 ผลปรากฏว่า Akamai …