KERENTANAN EKSEKUSI KODE JARAK JAUH YANG DIAUTENTIKASI PADA TP-LINK ROUTERS

KERENTANAN EKSEKUSI KODE JARAK JAUH YANG DIAUTENTIKASI PADA TP-LINK ROUTERS

Posted by : Admin , Aug 29, 2022
Pendahuluan
Produk TP-Link saat ini memiliki kerentanan keamanan yang serius pada firmware routernya. Pada 14 Maret 2022 lalu, RedesZone telah menemukan kerentanan pada router TPLink dan pada 09 Juni 2022, melalui Github, kerentanan eksekusi kode jarak jauh yang diautentikasi pada TP-Link Router dirilis. Kerentanan tersebut telah dibuktikan melalui eksploitasi pada perangkat TP-Link Archer AX50

Nilai Kerentanan
Berdasarkan CVSS 3.1, kerentanan ini memiliki nilai 8.8 yang dideskripsikan dengan CVE2022-30075 dan dikategorikan sebagai High.
Gambar 1. Base Score untuk Kerentanan CVE-2022-30075

Produk Terdampak
Produk yang terdampak oleh CVE-2022-30075 ditemukan pada produk TP-Link Router AX50 dengan firmware 210730 serta TP-Link dengan versi yang lebih lama

Detail dan Dampak Kerentanan
CVE-2022-28219 termasuk dalam kategori kerentanan eksekusi jarak jauh yang diautentikasi. Kerentanan ini memengaruhi perangkat TP-Link Router AX50 210730 dan versi yang lebih lama. Kerentanan ini menyebabkan penyerang terotentikasi untuk mengeksekusi kode arbitrer pada sistem secara jarak jauh. Kerentanan ini disebabkan karena adanya cacat pada fungsi pencadangan dan pemulihan. Dengan mengirimkan permintaan yang dibuat khusus, penyerang dapat mengeksploitasi kerentanan ini untuk mengeksekusi kode arbitrer pada sistem. Kerentanan ini mempengaruhi layanan dari router tersebut, yaitu dari sisi kerahasiaan, integritas, dan ketersediaan. Menurut para peneliti, model router lain dari pabrikan ikut terpengaruh oleh kerentanan ini. Namun mereka belum dapat memverifikasi karena mereka belum melakukan pembuktian kerentanan ini terhadap seluruh model router pabrikan yang ada. Pada TP-Link Router AX50 210730 dan versi sebelumnya, file cadangan berbahaya dapat diimpor dan diunggah ke router melalui GUI yang menyebabkan eksekusi kode jarak jauh karena validasi firmware yang salah. Penyerang dapat menginfeksi router dengan mengunggah versi cadangan yang dimodifikasi agar penyerang dapat melakukan rooting sistem operasi router dan mendapatkan kendali atas perangkat. Peneliti kerentanan ini telah membuat pembuktian berupa Proof of Concept (PoC) dimana ia mengeksploitasi kerentanan ini dengan tujuan mendapatkan akses admistrator. 

Panduan Mitigasi
Untuk melakukan pencegahan terhadap kerentanan CVE-2022-30075, pengguna dapat melakukan pembaruan yang telah disediakan oleh pabrik TP-Link.

Referensi
[1] “CVE-2022-30075 Detail” https://nvd.nist.gov/vuln/detail/CVE-2022-30075 (accessed June. 4, 2022)
[2] “CVE-2022-30075” https://github.com/aaronsvk/CVE-2022- 30075/blob/main/README.md (accessed June. 4,2022)
[3] “TP-LINK AX50 UP TO 210730 WEB INTEFACE PRIVILEGE ESCALATION” https://vuldb.com/?id.201496 (accessed June. 4,2022)
[4] “Your TP-Link router in danger, they have found a serious vulnerability” https://techunwrapped.com/your-tp-link-router-in-danger-they-have-found-a-seriousvulnerability/ (accessed June. 5, 2022)