CVE-2023-1389

TP-Link Archer AX21

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-05-01

Официальное описание

TP-Link Archer AX-21 contains a command injection vulnerability that allows for remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-1389 — это критическая уязвимость типа Command Injection (внедрение команд) в веб-интерфейсе управления маршрутизатора TP-Link Archer AX21 (версия аппаратного обеспечения v3). Проблема локализована в API-интерфейсе локализации (/cgi-bin/luci/;stok=/locale), где параметр country не проходит надлежащую проверку и очистку перед передачей системной оболочке.

Злоумышленник может отправить специально сформированный HTTP-запрос, содержащий системные команды, что приведет к их выполнению с правами суперпользователя (root). Уязвимость эксплуатируется удаленно без аутентификации, если веб-интерфейс доступен из внешней сети (WAN), или локально из сегмента LAN. Данная брешь активно используется ботнетами (например, Mirai) для захвата устройств.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление микропрограммы (прошивки) устройства до версии, в которой ошибка была исправлена производителем.

  1. Перейдите в веб-интерфейс управления маршрутизатором (обычно http://192.168.0.1 или http://tplinkwifi.net).
  2. Авторизуйтесь под учетной записью администратора.
  3. Перейдите в раздел Advanced (Дополнительные настройки) -> System (Система) -> Firmware Update (Обновление встроенного ПО).
  4. Нажмите кнопку Check for Upgrade (Проверить наличие обновлений).
  5. Если найдена версия 1.1.4 Build 20230219 или более поздняя, нажмите Upgrade (Обновить).

Если автоматическое обновление недоступно, скачайте прошивку вручную с официального сайта TP-Link и загрузите её через меню Manual Upgrade:

https://www.tp-link.com/en/support/download/archer-ax21/v3/#Firmware

Временные меры

Если немедленное обновление прошивки невозможно, необходимо минимизировать векторы атаки, ограничив доступ к интерфейсу управления.

  1. Отключите удаленное управление (Remote Management): Это предотвратит эксплуатацию уязвимости из сети Интернет. В веб-интерфейсе: Advanced -> System -> Administration -> Снимите галочку с Remote Management.

  2. Ограничьте доступ к веб-интерфейсу в локальной сети: Разрешите доступ к панели управления только с доверенных IP-адресов.

  3. Изолируйте устройство: Если маршрутизатор используется в критической инфраструктуре, поместите его за межсетевой экран (Firewall), который блокирует входящий трафик на порты управления (80, 443).

  4. Сброс настроек (после заражения): Если есть подозрение, что устройство уже скомпрометировано, выполните полный сброс к заводским настройкам кнопкой Reset, после чего немедленно установите актуальное обновление ПО.

Проверка текущей версии прошивки через терминал (если доступен SSH):

ubus call system board
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей