Une vulnérabilité critique de type “zero-day” a été découverte dans plusieurs modèles de routeurs TP-Link, présentant des risques de sécurité considérables. Ce défaut, un débordement de mémoire tampon dans le protocole de gestion CPE WAN (CWMP), permet aux attaquants d’exécuter du code arbitraire et de rediriger les requêtes DNS vers des serveurs malveillants. Découverte par le chercheur Mehrun (ByteRay) le 11 mai 2024, TP-Link a reconnu le problème et travaille sur des mises à jour du firmware, actuellement disponibles uniquement pour les versions européennes, d’autres régions suivront. La vulnérabilité réside dans la fonction de traitement des messages SOAP SetParameterValues, où une gestion incorrecte des appels strncpy peut conduire à l’exécution de code si le tampon d’entrée dépasse 3072 octets. L’exploitation de cette faille pourrait permettre aux attaquants de rediriger les requêtes DNS, d’intercepter ou de modifier le trafic non chiffré, et d’injecter du contenu malveillant. Les modèles concernés incluent les populaires Archer AX10 et Archer AX1500. TP-Link conseille aux utilisateurs de changer les mots de passe administrateur par défaut, de désactiver le CWMP inutilisé, de mettre à jour le firmware et d’isoler les routeurs des segments de réseau si possible.
Que devez-vous savoir sur la vulnérabilité du routeur TP-Link avant la publication du correctif ?
