TP-Link Router の脆弱性 CVE-2024-21833:PoC 開発の兆候も見られる

Millions of Routers at Risk: CVE-2024-21833 Threatens TP-Link Devices

2024/02/01 SecurityOnline — 最近の TP-Link ルーターに重大なリスクをもたらしている、セキュリティ脆弱性 CVE-2024-21833 の徹底的な分析を、CYFIRMA の調査チームが実施した。この脆弱性は、 2024年1月10日に JPCERT/CC により発見されたものであり、深刻度を示す CVSS 値は 8.8 と評価されている。

TP-Link は信頼されているネットワーク製品ベンダーであり、ビジネスとホームのユーザーに対して、幅広いソリューションを提供している。同社のルーター/スイッチ/Wi-Fi レンジエクステンダーなどのデバイスは、その信頼性と手頃な価格で人気を博している。そして、今回の脆弱性は、Archer AX3000/AX5400/AXE75/Deco X50/XE200 などのモデルに影響を及ぼすものだとされる。

この脆弱性の悪用に成功した未認証の攻撃者は、ネットワークへのアクセスを達成し、任意の OS コマンドの実行を可能にする。この欠陥は単なるバックドアではなく、脅威アクターたちへの公開された招待状とも言えるものであり、サービスの妨害/機密情報の窃取/デバイスのボットネット化などにいたる可能性がある。

TP-Link の、複数のルーター・モデルが、脆弱性 CVE-2024-21833 の影響を受ける。影響を受けるバージョンの中で、最も古いものは、Archer AX3000(JP)_V1_1.1.2 Build 20231115/Deco XE200(JP)_V1_1.2.5 Build 20231120 以下となる。ユーザーに対して強く推奨されるのは、ファームウェアのバージョンを、Archer AX3000(JP)_V1_1.1.2 Build 20231115 以降にアップデートすることである。

TP-Link ルーターにおける、OS コマンド・インジェクションの脆弱性は、Archer AX3000ファームウェア・バージョン 1.1.2 以前において特に深刻である。

攻撃者は、Web 管理インターフェイスの、HTTP リクエスト・エンドポイントの書き込み操作中に、HTTP リクエスト・メソッド・パラメータを操作できる。つまり、悪意の HTTP リクエストを作成することで、攻撃者はルート・ユーザー権限を獲得し、ルーターの OS を完全に制御する可能性を持つことになる。

Image: Cyfirma

研究者たちは、「この問題の潜在的な規模は大きく、20,114 件のユニークな IP アドレスに対応する、37,213件の TP-Link Archer デバイスが、インターネットからアクセス可能な状態にある」と述べている。

残念なことに、TP-Link の脆弱性は孤立した問題ではない。近年において、ネットワーク・インフラの脆弱性を狙う脅威者が増加傾向にある。顕著な脆弱性の例としては、Cisco IOS XE の CVE-2023-20198/FatPipe WARP IPVPN の CVE-2021-27860/D-LINK DIR-806 の CVE-2023-43128 などがある。

TP-Link のケースは、FROZENLAKE や Sofacy などのロシアの APT28 グループや、中国の Volt Typhoon などのハッキング・グループが関与する可能性があるため、さらに複雑になっている。これらの脆弱性は、直接的なリスクをもたらすだけでなく、サプライチェーン攻撃の機会を生み出し、金融/教育/政府/医療/保険などの、さまざまなセクターに影響を及ぼしている。

また、正体不明のハッカーたちが、脆弱性 CVE-2024-21833 に関連するエクスプロイトをアンダーグラウンド・フォーラムで販売している。つまり、脅威アクターたちが、このルーターの脆弱性を悪用する、ツールの開発へと向かう可能性があるため、深刻な懸念を引き起こしている。

現在のところ、脆弱性 CVE-2024-21833 用の PoC エクスプロイト・ツールは公開されていない。しかし、Telegram チャンネルでは、PoC について議論が進み、共有の可能性も示されている。アンダーグラウンド・フォーラムからの証拠は、この脆弱性の活発な悪用を示している。

緩和策は極めて重要である。ユーザーは、Archer AX3000 のファームウェアを速やかにバージョン 1.1.2 (または以降) にアップデートする必要がある。ネットワーク管理者は、脆弱なデバイスへのアクセスを制限するために、ネットワークのセグメンテーションとファイアウォール・ルールの実装を検討すべきである。

日本の JPCERT/CC からの報告が、こうして海外メディアのニュースになるのと、とても嬉しい気分になりますね。お隣のキュレーション・チームに聞いてみたところ、1月20日付けで、レポートをアップしているとのことでした。とは言え、喜んでばかり言っれない状況であり、TP-Link をご利用のチームは、ファームウェアの確認を、お急ぎください。よろしければ、TP-Link で検索も、ご利用ください。