พบช่องโหว่บนเราเตอร์ TP-Link ล็อกอินได้โดยไม่มีรหัสผ่าน

TP-Link ได้ออกแพตช์ช่องโหว่ร้ายแรงหมายเลข CVE-2019-7405 ซึ่งส่งผลกระทบกับเราเตอร์ Archer หลายรุ่น โดยทำให้คนร้ายสามารถล็อกอินได้แม้ไม่มีรหัสผ่าน

Credit: ShutterStock.com

ไอเดียก็คือคนร้ายสามารถส่ง HTTP Request ที่มีความยาว String เกินกว่าไบต์ที่กำหนด ซึ่งทำให้เกิด Void กับส่วนรหัสผ่านและถูกแทนที่ด้วยค่าว่าง “ทั้งนี้ช่องโหว่สามารถถูกใช้เพื่อควบคุมอุปกรณ์ได้ผ่านทางไกลจาก Telnet ใน LAN และอาจเชื่อมไปยังเซิร์ฟเวอร์ FTP ในระดับ LAN หรือ WAN ก็ได้“– IBM X-Force กล่าว นอกจานี้ด้วยความที่เราเตอร์มีเพียงบัญชีประเภท Admin เท่านั้น ซึ่งถ้าแฮ็กเกอร์เข้ามาได้จริงก็จะนำไปสู่เหตุการณ์อันตรายต่างๆ อย่างเต็มรูปแบบ

สำหรับ TP-Link เองได้ออกแพตช์อุดช่องโหว่ให้เราเตอร์ Archer C5 V4, Archer MR200v4, Archer MR6400v4 และ Archer MR400v3 ไว้แล้ว ผู้ใช้งานสามารถหาดาวน์โหลดได้จากเว็บไซต์ของบริษัท

ที่มา :  https://www.bleepingcomputer.com/news/security/tp-link-router-bug-lets-attackers-login-without-passwords/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้