I ricercatori di CyberNews hanno scoperto numerosi difetti di sicurezza all’interno del firmware predefinito e dell’app di interfaccia web del router TP-Link AC1200 Archer C50 (v6), che potrebbero mettere i suoi proprietari a rischio di attacchi man-in-the-middle e Denial of Service.
Con un fatturato annuo di 150 milioni di dispositivi e una quota del 42% del mercato WLAN consumer globale, TP-Link Technologies Co, Ltd. con sede a Shenzhen è il produttore numero uno al mondo di prodotti di rete Wi-Fi orientati al consumatore.
Prodotti dal produttore leader mondiale e venduti da Amazon, il più grande rivenditore online del pianeta, i router TP-Link sono così popolari che alcuni modelli vengono regolarmente premiati con il badge “Amazon’s Choice” nella categoria “router wifi”.
Tuttavia, pochi utenti si rendono conto di quanti modelli di router di fascia consumer diffusi siano afflitti da problemi di sicurezza. Dalle password di amministratore predefinite alle vulnerabilità prive di patch, fino alle backdoor preinstallate, l’acquisto del router sbagliato può avere conseguenze disastrose, come l’infiltrazione nella rete, gli attacchi man-in-the-middle e l’acquisizione del router.
Il router TP-Link AC1200 Archer C50 (v6) “Amazon’s Choice” e più venduto, viene venduto al dettaglio per £ 34,50 (~ $ 48) nel Regno Unito ed è venduto principalmente nel mercato europeo.
Oltre a essere venduto con firmware vulnerabile, il router presenta un altro difetto critico: la sua app di interfaccia web soffre di pratiche di sicurezza scadenti e crittografia debole, mettendo potenzialmente migliaia – se non milioni – dei suoi proprietari a rischio di attacchi informatici.
Se vi capita di possedere il router TP-Link AC1200 Archer C50 (v6), dovreste installare immediatamente l’ultimo aggiornamento del firmware
Nel corso dell’analisi di sicurezza del router TP-Link AC1200 Archer C50 (v6), i ricercatori di CyberNews hanno riscontrato numerosi difetti senza patch nella versione predefinita del firmware del router, nonché nella sua app di interfaccia web:
- Il router viene fornito con un firmware obsoleto che è vulnerabile a dozzine di falle di sicurezza note.
- WPS è abilitato per impostazione predefinita, consentendo potenzialmente agli autori delle minacce di eseguire la forza bruta sul router.
- I token di sessione non vengono eliminati lato server dopo la disconnessione dall’app del router e vengono accettati per le successive procedure di autorizzazione.
- Le credenziali di amministratore del router e i file di backup della configurazione sono crittografati utilizzando protocolli deboli e possono essere facilmente decrittografati dagli aggressori.
- La versione predefinita dell’app dell’interfaccia web del router soffre di molteplici cattive pratiche di sicurezza e vulnerabilità, tra cui clickjacking, mancata corrispondenza del set di caratteri, cookie slack, divulgazione di IP privati, crittografia HTTPS debole e altro.
D’altra parte, la maggior parte dei difetti noti che interessavano le versioni precedenti del firmware del router, come l’esecuzione di codice durante le procedure di ping e le vulnerabilità di attraversamento del percorso, sono stati corretti nella versione che i ricercatori hanno analizzato. Inoltre, il traffico HTTP durante le procedure di accesso e disconnessione sull’app dell’interfaccia Web del router è ora crittografato utilizzando il protocollo base64 permutato.
Tuttavia, alcuni dei difetti sono stati corretti solo a metà. Ad esempio, il backend del router sembra ancora protetto in modo relativamente approssimativo, il che significa che qualcun altro può potenzialmente trovare un punto di ingresso all’interno dell’interfaccia web e sfruttare nuovamente i difetti precedentemente noti.
Il 18 luglio, CyberNews ha contattato TP-Link per un commento e per capire se fosse a conoscenza dei difetti e cosa intendesse fare per proteggere i propri clienti. Dopo aver inviato informazioni sul dispositivo TP-Link interessato, TP-Link ha dichiarato che l’azienda imporrà gli aggiornamenti del firmware sui dispositivi interessati, mentre i proprietari riceveranno “notifiche pertinenti” su questi aggiornamenti tramite la loro interfaccia di gestione, “se gestiscono il dispositivo tramite il terminale web o l’app mobile Tether.”
