Tausende von TP-Link-Routern sind anfällig für einen Fehler, mit dem das Gerät aus der Ferne gesteuert werden kann. Es dauerte jedoch mehr als ein Jahr, bis das Unternehmen die Patches auf seiner Website veröffentlichte.

Die Sicherheitsanfälligkeit ermöglicht es jedem gering qualifizierten Angreifer, aus der Ferne vollen Zugriff auf einen betroffenen Router zu erhalten. Der Exploit basiert auf dem Standardkennwort des Routers, das viele nicht ändern.

Im schlimmsten Fall könnte ein Angreifer ein massives Ziel für anfällige Geräte sein, indem er einen ähnlichen Mechanismus wie Botnets wie Mirai verwendet – indem er das Web durchsucht und Router mit Standardkennwörtern wie „admin“ und „pass“ entführt.

Andrew Mabbitt, Gründer des britischen Cybersicherheitsunternehmens Fidus Information Security, entdeckte im Oktober 2017 erstmals den Fehler bei der Remotecodeausführung und gab ihn an TP-Link weiter. TP-Link veröffentlichte wenige Wochen später einen Patch für den anfälligen WR940N-Router, aber Mabbitt warnte TP- Im Januar 2018 erneut verknüpfen, dass ein anderer Router, der WR740N von TP-Link, ebenfalls anfällig für denselben Fehler war, da das Unternehmen anfälligen Code zwischen Geräten wiederverwendete .

Laut TP-Link wurde die Sicherheitslücke in beiden Routern schnell behoben . Als wir das überprüft haben, war die Firmware für WR740N nicht auf der Website verfügbar.

Ein TP-Link-Sprecher sagte auf Anfrage, das Update sei „auf Anfrage des technischen Supports verfügbar“, erklärte aber nicht, warum. Erst nachdem TechCrunch Kontakt aufgenommen hatte, aktualisierte TP-Link die Firmware-Seite mit dem neuesten Sicherheitsupdate.

Router sind seit langem für Sicherheitsprobleme berüchtigt. Im Herzen eines Netzwerks kann jeder Fehler, der einen Router betrifft, katastrophale Auswirkungen auf alle angeschlossenen Geräte haben. Indem er die vollständige Kontrolle über den Router erlangte, sagte Mabbitt, dass ein Angreifer in einem Netzwerk Chaos anrichten könnte. Das Ändern der Einstellungen auf dem Router wirkt sich auf alle aus, die mit demselben Netzwerk verbunden sind, z. B. das Ändern der DNS-Einstellungen, um Benutzer dazu zu verleiten, eine gefälschte Seite zu besuchen, um ihre Anmeldeinformationen zu stehlen.

TP-Link lehnte es ab, die Anzahl der potenziell gefährdeten Router offenzulegen, teilte jedoch mit, dass der WR740N ein Jahr zuvor eingestellt worden war. Als wir zwei Suchmaschinen auf exponierte Geräte und Datenbanken überprüften, vermuteten Shodan und Binary Edge, dass es jeweils solche gab Überall im Internet zwischen 129.000 und 149.000 Geräte – obwohl die Anzahl der anfälligen Geräte wahrscheinlich weitaus geringer ist.

Mabbitt sagte, er glaube, TP-Link sei weiterhin verpflichtet, Kunden über das Update zu informieren, wenn Tausende von Geräten immer noch anfällig sind, anstatt zu hoffen, dass sie sich an den technischen Support des Unternehmens wenden.

Sowohl im Vereinigten Königreich als auch im US-Bundesstaat Kalifornien müssen Unternehmen in Kürze Geräte mit eindeutigen Standardkennwörtern verkaufen, um zu verhindern, dass Botnets Geräte mit Internetverbindung in großem Umfang entführen und ihre gemeinsame Internetbandbreite nutzen, um Websites offline zu schalten.

Das Botnet Mirai abgestürzten Dyn, einen Domain – Name – Service – Riese, der geklopft Dutzende von großen Websites stundenlang offline – einschließlich Twitter, Spotify und Soundcloud.