0-day найдена в роутере TP-Link SR20 для умных домов

0-day найдена в роутере TP-Link SR20 для умных домов

0-day найдена в роутере TP-Link SR20 для умных домов

В роутере для умного дома TP-Link SR20 обнаружена 0-day уязвимость, способная привести к выполнению произвольного кода. О проблеме сообщил разработчик из команды Google Мэттью Гарретт.

По словам Гарретта, для использования этой проблемы безопасности атакующий должен находиться с жертвой в одной сети. В этом случае он сможет инициировать запуск произвольных команд.

Разработчик Google принял решение раскрыть детали уязвимости после того, как стало ясно — компания TP-Link не предприняла никаких действий в отношении бреши в течение 90-дневного срока, который давался на устранение бага.

Гарретт заявил, что проблема в случае с роутером SR20 заключается в наличии процесса «tddp» (TP-Link Device Debug Protocol), который запускается от root. TDDP допускает запуск на устройстве двух видов команд: которые не требуют аутентификации, и которые запрашивают учетные данные администратора.

Уязвимые роутеры допускают использование команд первого типа. Чтобы проэксплуатировать брешь, атакующему надо всего лишь послать специально созданный запрос Trivial File Transfer Protocol (TFTP).

«После подключения к устройству атакующего SR20 запросит имя файла через TFTP, затем импортирует его в интерпретатор LUA и передаст параметр в функции config_test()», — объясняет эксперт. — «При этом интерпретатор запущен от root».

Метод os.execute() позволит атакующему, не прошедшему процесс аутентификации, выполнить любую команду от имени root. Это может привести к полной компрометации устройства.

Специалист опубликовал proof-of-concept (PoC).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мессенджер MAX начали использовать в мошеннических схемах

Злоумышленники выдают себя за сотрудников службы поддержки мессенджера MAX и под предлогом подключения дополнительных мер безопасности пытаются получить доступ к личной информации пользователей. В рамках атаки они звонят по обычной мобильной связи, представляются сотрудниками MAX и убеждают собеседника пройти «дополнительную регистрацию», необходимую якобы для усиления защиты.

На деле цель — получить одноразовый код из СМС и получить доступ к аккаунтам. С подобным видом мошенничества лично столкнулся один из сотрудников редакции онлайн-издания «Код Дурова».

Злоумышленники звонили по мобильному номеру, представлялись сотрудниками поддержки и убеждали срочно зарегистрироваться в мессенджере MAX, чтобы активировать некий «аккаунт безопасности». Для этого требовали продиктовать код из СМС от портала Госуслуг.

В ходе разговора мошенники утверждали, что MAX — это государственный сервис, якобы уже интегрированный с Госуслугами. Однако, как напоминает издание, на самом деле интеграция с порталом пока не реализована — такая возможность только обсуждается. Ранее министр цифрового развития Максут Шадаев заявлял, что интеграция может появиться не раньше ноября 2025 года.

Сотрудник «Кода Дурова», столкнувшийся с атакой, отметил, что злоумышленники вели себя настойчиво и даже агрессивно, стремясь заставить жертву выполнить необходимые им действия.

Директор продукта «Защитник» компании МТС Андрей Бийчук отметил, что подобные инциденты требуют пристального внимания, несмотря на то, что пока речь идёт лишь об единичных случаях. По его словам, это может быть тестирование мошеннической схемы, которая впоследствии станет массовой.

Рекомендации по защите остаются стандартными: не сообщать коды из СМС третьим лицам и при любых подозрениях обращаться в официальные службы поддержки. При этом мессенджер MAX не использует мобильную связь для уведомлений и не запрашивает коды доступа по телефону.

Тем временем разработчики MAX запустили программу bug bounty с возможным вознаграждением до 5 млн рублей. Кроме того, недавно в мессенджере появилась система мониторинга событий ИБ, что, возможно, стало реакцией на обвинения в слежке за пользователями и использовании небезопасных компонентов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru