Une vulnérabilité critique de type “zero-day” a été découverte dans les routeurs TP-Link, les exposant à une prise de contrôle totale du système via l’exécution de code à distance (RCE). Cette faille, identifiée dans le protocole de gestion WAN des équipements client (CWMP), permet aux attaquants d’exploiter un débordement de pile dans la fonction sub_1e294, ce qui pourrait conduire à l’exécution de code avec des privilèges root. La vulnérabilité affecte plusieurs modèles TP-Link, notamment les Archer AX10 et AX1500, et demeure non corrigée malgré un signalement en mai 2024.
Les chercheurs en sécurité ont découvert que la vulnérabilité provient d’une vérification inadéquate des limites lors du traitement des messages SOAP contrôlés par l’utilisateur, permettant aux attaquants d’envoyer des messages malveillants qui dépassent les limites du tampon. Cette négligence peut entraîner une situation dangereuse où le registre du compteur de programme est écrasé, confirmant le potentiel d’attaques RCE.
Les appareils et versions de firmware concernés incluent diverses combinaisons des modèles Archer AX10 et AX1500, avec d’autres modèles potentiellement à risque. Un scan à l’échelle mondiale a révélé plus de 4 000 adresses IP vulnérables, soulignant l’exposition significative de ces appareils à des attaques potentielles.
Exploiter cette vulnérabilité nécessite de modifier les configurations du serveur CWMP, ce qui peut souvent être réalisé grâce à des identifiants par défaut ou des mots de passe faibles. Une fois l’accès obtenu, les attaquants peuvent déployer des serveurs malveillants pour déclencher le débordement de pile, posant des risques substantiels pour les réseaux résidentiels et de petites entreprises à travers le monde. La persistance des paramètres de sécurité par défaut aggrave encore la menace posée par cette vulnérabilité “zero-day”.
