CVE-2015-3035

TP-Link Multiple Archer Devices

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-25

Официальное описание

Directory traversal vulnerability in multiple TP-Link Archer devices allows remote attackers to read arbitrary files via a .. (dot dot) in the PATH_INFO to login/.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2015-3035) — это обход ограничений доступа (Directory Traversal) в веб-интерфейсе управления ряда маршрутизаторов TP-Link Archer. Злоумышленник может удаленно, без авторизации, читать любые файлы на устройстве, отправляя HTTP-запрос с последовательностью .. (две точки) в параметре PATH_INFO.

Пример эксплуатации: Злоумышленник отправляет запрос вида:

GET /login/../../etc/passwd HTTP/1.1
Host: <IP-адрес_роутера>

Это может позволить получить конфиденциальные файлы (конфигурации, пароли), что является первым шагом к полному взлому устройства.

Как исправить

Основной метод — обновление микропрограммы (прошивки) маршрутизатора до версии, в которой уязвимость устранена.

  1. Определите точную модель устройства. Она указана на наклейке на корпусе (например, Archer C7, Archer D9).
  2. Перейдите на официальный сайт TP-Link в раздел загрузок для вашей модели и региона.
  3. Загрузите и установите последнюю версию прошивки. Для большинства уязвимых моделей Archer проблема была устранена в версиях прошивки, выпущенных после апреля 2015 года. Убедитесь, что версия прошивки новее указанной в описании CVE.
  4. Процесс обновления через веб-интерфейс:
    • Войдите в панель управления роутером (http://tplinkwifi.net или по IP-адресу).
    • Перейдите в раздел Системные инструменты (System Tools) -> Обновление встроенного ПО (Firmware Upgrade).
    • Нажмите "Обзор" или "Выбрать файл", укажите скачанный файл прошивки (с расширением .bin).
    • Нажмите кнопку Обновить (Upgrade). Не выключайте и не перезагружайте устройство до завершения процесса.

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

  1. Ограничьте доступ к веб-интерфейсу управления:

    • В настройках маршрутизатора найдите раздел, связанный с безопасностью (Security) или удаленным управлением (Remote Management).
    • Отключите доступ к веб-интерфейсу из внешней сети (WAN/Интернет). Оставьте доступ только из локальной сети (LAN).
    • Если функция необходима, ограничьте IP-адреса, которым разрешен доступ.

  2. Измените сетевые правила на вышестоящем межсетевом экране:

    • Заблокируйте входящие подключения из интернета к портам 80 (HTTP) и 443 (HTTPS) вашего маршрутизатора. ```bash

    Пример правила для iptables (на шлюзе перед роутером)

    iptables -A FORWARD -p tcp --dport 80 -d <IP_вашего_роутера> -j DROP iptables -A FORWARD -p tcp --dport 443 -d <IP_вашего_роутера> -j DROP ```

  3. Настройте WAF (Web Application Firewall):

    • Если у вас есть корпоративный WAF (например, ModSecurity), добавьте правило для блокировки запросов, содержащих последовательности ../ или их кодированные варианты (..%2f, %2e%2e%2f) в URI.

Важно: Временные решения лишь снижают поверхность атаки. Полное устранение уязвимости возможно только путем обновления прошивки.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей