Исследователи безопасности из компании Cisco выявили (https://blog.talosintelligence.com/2018/11/tplinkr600.html) несколько уязвимостей в маршрутизаторах TP-Link TL-R600VPN (https://www.tp-link.com/us/products/details/cat-4909_TL-R600...) (проблемы устранены в свежем обновлении (https://www.tp-link.com/us/download/TL-R600VPN.html) прошивки):- CVE-2018-3949 (https://talosintelligence.com/vulnerability_reports/TALOS-20...) - ошибка в http-сервере, связанная с некорректной обработкой спецсимволов в путях, позволяет прочитать любой файл в системе, отправив запрос к страницам помощи, доступным без аутентификации. В ходе атаки, например, можно отправить запрос "/help/../../../../../../../../../../../../../../../../etc/shadow" для получения содержимого файла с хэшами паролей;
- CVE-2018-3951 (https://talosintelligence.com/vulnerability_reports/TALOS-20...) - переполнение буфера при разборе HTTP-заголовков может быть использовано для выполнения кода с правами http-сервера (запускается под пользователем root) при отправке специально оформленного http-запроса к страницам "/fs/*". Для атаки требуется наличие аутентифицированного доступа (может быть получен через эксплуатацию первой уязвимости);
- CVE-2018-3950 (https://talosintelligence.com/vulnerability_reports/TALOS-20...) - ошибка в реализации диагностических функций ping и tracert позволяет выполнить код с правами root через манипуляцию в передаваемым IP-адресом (передача слишком большого значения в поле ping_addr приводит к переполнению буфера). Для эксплуатации уязвимости требуется аутентифицированный доступ;
- CVE-2018-3948 (https://talosintelligence.com/vulnerability_reports/TALOS-20...) - ошибка в коде разбора URI в http-сервере позволяет вызвать отказ в обслуживании (бесконечное зацикливание http-сервера с web-интерфейсом) при обработке специального оформленного запроса, ссылающегося на каталог вместо файла (например, "/help/../../../../../../../../../../../../../../../../etc"). Уязвимость может быть эксплуатирована без аутентификации.
URL: https://blog.talosintelligence.com/2018/11/tplinkr600.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=49634
Красиво унизила фабрика по производству сетевых устройств АНБ.
>АНБСкорее 国家安全部
> Красиво унизила фабрика по производству сетевых устройств АНБ.АНБ-то оно зачем нужно было, если уязвимости доступны только из локалки (если оно конечно наружу не слушает - но в этом случае как-то слишком уж палевно для АНБ)?
Как запасной канал для экстренного выхода на связ внедренных агентов?Бритва Хэнлона:
"Никогда не приписывайте рептилоидам и АНБ то, что вполне можно объяснить анатомией рук!" (тем более, HTTPD у них там от рута запущен)Интересно, что там с VPN-ом творится, если в простой конфигурялке-через-http умудряются такие (классические) ошибки делать?
> АНБ то оно зачем было, если уязвимости доступны из локалки?Повысить спрос на свои бэкдор-устройства для выхода в сеть.
> Интересно, что там с VPN-ом творится, если в простой конфигурялке-через-http умудряются такие (классические) ошибки делать?Когда индусу платят маленькую зарплату, он и не такие майнеры криптовалют туда запихает.
Про 'индусов' ‒ это иносказательно?Как показывает практика, с увеличением зарплаты прямопропорционально поднимается и кураж по наращиванию высокодоходности :))
*И единственный общепринятый на сегодня способ с этим бороться ‒ по уши загружать основной работой так, чтоб и времени ни на что другое не оставалось ))
не переживайте так за индуса - он просто не успеет сделать эту основную работу в срок или сделает ее не просто плохо, а отвратительно. Вот майнер встроит - хороший.
"Солдат без лопаты - потенциальный преступник"(с)
Позорники.
Проблемы устранены
Проблема для пользовтеля может быть решена физическим устранение тплинк,прочие методы как зелёнка при сифилисе.
Только о том, что кто-то установит обновление прошивки остаётся только мечтать. Подавляющее большинство пользователей и провайдеров обновлением не заморачиваются, поэтому и возникают ботнеты из сотен тысяч рутеров, взломанных при помощи уязвимостей трёхлетней давности. Cтавят клиенту рутер и никто его не трогает пока не сдохнет, разве что перезагружают когда совсем плохо становится.
Пришел с работы:
- обновил телефон
- обновил ОС на компьютере и ноутбуке
- и биос
- Обновил планшет, смарт часы, нивигатор
- обновил прошивку в СмартТВ, принтере, сканере, холодильнике
- Про роутер не забываем
- Как насчет пожарных датчиков и системы сигнализации? теперь и в них прошивки
- И IoT - холидильник, кофеварку, микроволновку...
- О, уже опять на работу, но не зря день прошел.
вы отсталый замшелый ретрогад и должны страдать!Вот как надо: пока шел с работы, обновился телефон. В процессе обновления что-то пошло не так, и он превратился в кирпич. В это же время собрались обновляться умные часы и планшет (отдельный навигатор - что за каменный век? В нем даже Сири нет, вы что - как лoxи все, пальцем тыкаете куда хотите доехать?) но поскольку интернет был через тот телефон - они не окирпичились, а просто мигают окошком "потеряна связь" - как только телефон заработает, сразу же продолжат с того же места, а вы думали, новые технологии, а не какая-то ерунда. Поэтому домой поедем общественным транспортом - тем более, что машина без приложения не заводится.
Квартира открывалась умным IoT c телефона по nfc, ну и как умный мальчик, ты сделал дополнительную открывашку с часов по bt - поэтому лезешь в нее по водосточной трубе, к счастью, ее сделали еще в доисторические времена и пока не успели "обновить" до скользкого пластика.
А для смарт-тв обновлений сегодня нет - так что его можно было бы и посмотреть, но, поскольку холодильник, кофеварка и микроволновка качают свои двести гиг nodejs кода каждый (индус же не знает что ты сова и жить после 0:00 только начинаешь) - смотреть можно только слайд-шоу.
На работу завтра, зато, не пойдем, возьмем отпуск за свой счет (телефон, позвонить начальству, одолжишь у соседа по балкону, номерок на всякий случай там же на перилах нацарапан, это надежно, это никуда не уйдет) - тебе надо в сервис, телефон восстанавливать, а там очередь. Электронная, ага. sms пришлет на этот же телефон (fuck you, ulmart).
так и живем...
а про лампочки то забыли!
> а про лампочки то забыли!а, ну да - после последнего обновления свет в доме не включается, но в произвольные моменты между часом ночи и пятью утра по пол-часа мигает цветомузыка веселеньких цветов. Производитель обещал подумать над исправлением бага в следующем году.
(к сожалению, патроны и люстры совместимы только с этими лампами, поэтому поменять их проще всего вместе с квартирой)
как-то грустно
Ты забыл прошить usb type-c кабель
Позорники! Непорядок! Как так! Уже устранили! Теперь как мы пролезем?!
>Исследователи безопасности из компании Cisco выявили несколько уязвимостей в маршрутизаторах TP-Link TL-R600VPNИсследователи безопасности из компании Cisco кагбе ненавязчиво намекают. Ну, Вы поняли.
исследователям надоели преднамеренные ошибки и они посмаковали чужие непреднамеренные
Исследователи безопасности из Cisco - понятие настолько же взаимоисключающее, как и программисты из Microsoft.
Да на что они там намекают, они в этом сегменте рынка вообще отсутствуют, полтора линксиса не в счёт
дружище, ты бы по ссылочке-то сходил?заодно и узнал бы, что такое TL-R600VPN - это ни разу не домашнаяя мыльница.
У сиськи на этом рынке и младшая аса, и 19я серия, если ее еще анафеме не предали, и кто-там-нынче из 8xx еще в моде... Все, что характерно, кривые, неудобные, и кроме асы - дорогие до безобразия (а у асы с нужным функционалом не айс).
Linksys принадлежит Belkin, не Cisco.
> можно отправить запрос "/help/../../../../../../../../../../../../../../../../etc/shadow" для получения содержимого файлаи вроде бы на дворе 2k!8, люди вроде должны быть научены как минимум примером других людей, но чтобы откровенно допускать такие уязвимости в коде. это каким же дауном нужно быть? тут специально захочешь -- рука не поднимется такую детскую уязвимость оставлять.
кто-то ещё хочет высказаться против доморощенных "админов локалхоста", которые держат сервак под кроватью? посмеяться над их непрофессионализмом, ведь кто они такие? по сравнению с каким-нибудь TP-Link'ом, который тем не менее, умудряется оставлять такие дыры в своём софте. мдааааа...
нет, SOHO-роутеры нужны, они отлично справляются с раздачей Wi-Fi, но место их -- за NAT'ом.
каждый раз опять те же уязвимости, в прошлых моделях было, исправляют и делают те же уязвимости в новых моделях
на дворе 2к18, а стоимость рабочей силы там, где это поделие на коленке ляпалось, ниже плинтуса, плюс условия скотские
итог простой - как можно быстрее сляпать что попало, с красивенькой обёрткой, чтобы манагерьё могло это как можно быстрее втюхать лохам, готовым это купить
Зато в каждой теме о новой малинке, как только заикнёшься об одноплатнике с двумя честными Eth-портами, сразу набигают эксперты и орут, что двухпортовые платы никому не нужны.
абсолютно - эта вещь не для ситуаций, когда из электричества есть только батарейка.
соответственно - атом с pci слотом тебе даст два честных eth-порта, и freebsd+mpd поверх даже потянет на нем функциональный эквивалент того длинка - где-нибудь на честных 800мегабитах, если не увлекаться шифрованием сверх необходимого.А двхупортовая плата с недопроцессором для этой цели нафиг не нужна, ее назначение - этот ваш IOT. Где совершенно пофиг, что и единственный-то порт через usb-шину подключен.
И надолго тебе батарейки хватит даже с половиной Ethernet-порта на обычной Малине?
Атом с PCI-слотом хочет кушать ATX, а не 5V*2A (есть на 12В, но они продаются как решения для промышленной автоматизации и стоят совсем других денег). Для ситуаций, когда из электричества осталась только батарейка, предпочтительней ИБП постоянного тока для ОПС/CCTV с копеечным преобразователем 10.5-14В -> 5В, нежели офисный ИБП на 10 мин. работы и БП ATX, которые, кстати, на 10Вт не существуют. Есть вариант неттоп и преобразователь 12->19В, но оно всё равно кушает в разы больше фруктопая.
И - да, 4 ядра на 1.6 ГГц - это не "недопроцессор".
> Атом с PCI-слотом хочет кушать ATX, а не 5V*2Aне, все норм - я потрахался наоборот, искать такой (ну нет у меня мощных и надежных питальников 12v, тем что есть ссыкотно светодиодную ленту доверить, того гляди задымятся, а atx счастье - в любом ларьке, можно даже поискать slim або безвентиляторный, но я не стал, оба г-но)
стоит те же $70-90 в зависимости от жадности китайца, в общем, легко найдешь на ebay. Иногда надо потом выкинуть или применить в хозяйстве неуклюжий десктопный корпус, иногда в пакетике, даже нераспечатанном. Ну и еще 45 за двухголовый pci-e интел. (все норм, там на этих платах ничего за слотом нет, расширенный хвост нормально повисает в воздухе)
если тебе понадобилось две гигабитные сетевухи - ну какие тут нафиг батарейки, там куда приходят гигабитные витые пары, есть розетка и ups'ы в ней.
с видео есть проблемы, щательнее выбираем тип того атома (у винды проблем нет, но роутер из нее - не очень)
зато на него радиатор нормальный надет. Мост, правда, надо отдельно охлаждать.
Вот с 4+1 гигабитными портами http://www.banana-pi.org/r2.html и двумя SATA впридачу.
но смысл в этом троллейбусе из буханки? Жрет как настоящая, с охлаждением при этом нерешаемые траблы, стоит тоже дорого, а на нормальные понимаемые исходники драйверов к этому встроенному чудо-свитчу (а это именно свитч, причем стартует он в очень интересной позе) надеяться, по-моему, не следует.intel наше всьо.
У всех SOHO-роутеров 4 порта это свитч, и что? Если питается от внешнего БП на 2 - 3 А, то с потреблением нормально.
ну и зачем, повторяю, этот троллейбус из буханки, если свитч живет сам по себе и вы им управлять нормально не можете?три апмпера по 5 вольтам (надеюсь, не 12?) - отличный кипятильник, причем правильно подвести к нему охлаждение отдельная история. Зачем?
гроб-пылесборник в коридоре? очень эстетично
вы совсем читать не умеете? micro-atx платка на атоме, питается от 12 вольт, если не умудритесь (не так просто, я замучался выискивать) найти такую что с atx и при этом без второго питания. Вращающихся деталей нет, пыли собирать нечем.имеет нормальную pci шину, на которой висит штатная нормальная e1000 и у которой есть аж два нормальных разъема, pci, в который втыкается ТАКОЙ: https://en.wikipedia.org/wiki/File:PCI-X_in_a_32-bit_slot.jpg интеловский контроллер, можно двухголовый (на атомных платах нет тех деталей, которые на этой картинке явно не упрощают втыкание, позади разъема, там пусто) и мини-express, куда еще и wifi можно воткнуть.
и достаточную пропускную способность, чтобы получить с этих карт процентов 70-80 их теоретического потолка, если не заниматься странным.
греется при этом сильно меньше, чем банан.
и, поскольку это интел, никаких проблем с devicetree, отсутствующими драйверами и т д.
а, да - и до 4G.
А не "один кое-как распаяли, а больше не получается".
>micro-atx платка на атоме, питается от 12 вольтво-первых, если оно называется *atx - значит должно быть электрически совместимо с atx
во-вторых, _любой_ корпус для этого даже без плат расширения по сравнению с роутером/pi - гроб-пылесборник
Малинки даже с одним полноценным 1Гбит портом нет. Ну и ладно бы, дак ведь и варианта с USB 3.0 нет...
И с нормальным количеством памяти нет.
Ну добавишь ты на неё второй порт (а они на USB), всё равно оно своим полудохлым цпу даже 100 мбит не протянет.
не нужно быть дауном, чтобы скопипастить код из вопроса на stackoverflow. Нужно быстро-быстро мышкой клик-клик-клик. Результат измеряется в долларах на зарплатной карте, а не в гордости за хорошо сделанную работу, усвой уже это.SafeStream Gigabit Broadband VPN Router ни разу не справляется с раздачей wifi. У него вообще такого модуля нет. Зачем люди это вместо цисок покупают (у которых, кстати, есть) - вполне понятно. А зачем покупать самоучку-без-мотора-с-сервером-под-кроватью - непонятно, он детских ошибок и сам понаделает, и за него их понаделают кодописатели того, что он на этот сервер взгромоздит, а жрать ему подавай два раза в месяц, а не один раз в пять лет.
>люди вроде должны быть наученынаучены только ИБ-дрочеры, обычные разработчики ложили и будут ложить на безопасность
Поэтому этих "обычных" разработчиков ссаными тряпками от разработки под железяки, стоящие на границах сетей.
и чо - сам пойдешь к ней уеб-гуйню писать, непременно - с аяксиком и модным-плоским интерфейсом серым по серому?
(иначе пользователи, наше всьо, тебя не поймут, и куплена будет таки циска - у нее, если ты не в курсе, гуйня есть. Правда, немодная и жабу хочет, поэтому и продаются успешно поделки вроде этой)
На словах все хорошо, вот только быдлокодеров продолжают нанимать везде, значит это кому-то нужно...
Есть еще дeбилы, которые сидят на стоковых прошивках?
> Есть еще, которые сидят на стоковых прошивках?Сидел, и буду. Ибо практических уязвимостей всё равно нет.
да, сижу на стоке
Хорошее стоками не назовут.
аналогично. и стандартный пароль не менял
ТПлинк адекватная контора, четко знающая свое место, и поэтому не выпускающая устройств, которые не могут быть поддержаны сторонним фирмварем :)
Понял! Уже бегу покупать!
А какая опасность в этих уязвимостях, если по умолчанию роутер недоступен извне?
Всё, куда влезает OpenWRT или другая вменяемая система - должно под этой системой работать, сразу после притаскивания из магазина.
все куда влезают опенворота и прочие рукоблудские поделки "затобесплатных" - незачем притаскивать из магазина.
скачал заводскую прошивку бесплатно с сайта производителя. ЧЯДНТ?
Тебе зонд сидеть не мешает?
> Тебе зонд сидеть не мешает?о, вот видишь - ты лох, даже если openwrt - с сайта производителя и вообще является для этой мыльницы штатной прошивкой - в нем зоооооонды, это ж каждый верующий знает!
Говорили же вам - не таскайте это из магазина...
Для тп-линка как видишь стоковая прошивка вся в зондах. Лучше уж openwrt.
похоже наметилась новая тенденция - "openwrt головного мозга". поражённые свято верят, что любую проблему можно решить, установив на неё openwrt. лекарство пока не найдено.
можно было бы попробовать установить им openwrt, и отправить на работу в пони-экспресс, пакеты роутить, но, похоже, это неподдерживаемая конфигурация - процессоры в поражаемых мозгах очень уж слабенькие, да и оперативной памяти как у рыбки. Заблудится и пакет потеряет.
Похоже тебя через стоковую прошивку хакнули. Бред несешь.
>похоже наметилась новая тенденция - "openwrt головного мозга". поражённые свято верят, что любую проблему можно решить, установив на неё openwrt. лекарство пока не найдено.не любую, а практически любую (кроме 4/32), связанную с SOHO-роутерами, где производитель забил на обновления
OpenWRT скорее не об устранении проблем, а об увеличении функционала.
больше функц-ла отключить лишний функц-ал, финальным аккордом гасятся httpd и sshd
> Удалённо эксплуатируемые уязвимостиЧто значит "удалённо"?
Могут поломать из интернета? Или из локалки?Каждый раз спрашиваю, и каждый раз тишина.
Если из локалки, то как-то пофиг вообще на всю эту белиберду.
js смывает четкие границы между local/remote, а это лишь маленький костыль в море костылей
> js смывает четкие границы между local/remote, а это лишь маленький костыль в
> море костылейЕсли имеется в виду браузерный js, то при чём тут он? Вы ведь не знаете что у меня установлено с другой стороны роутера.
не знаю, что у вас установлено за роутером для малого офиса с филиалами? браузерный js это пример того, что сложно контролировать и того, когда remote_addr с интранет оказывается истинно удаленным атакующим поневоле. только связисты иногда думаю что интранет это не _удаленная_ уязвимость. надеюсь, ничего обидного не написал, да я и не знаю ничего.