Roteados TP-LINK transmitem tráfego para empresa terceirizada

Roteados TP-LINK transmitem tráfego para empresa terceirizada. Empresa Avira recebe informações de tráfego das conexões em que os transmissores estão ligados.

Por vários anos, a empresa de equipamentos de rede TP-Link fez parceria com a Avira para proteger produtos como roteadores Wi-Fi . Os recursos HomeCare e HomeShield estão aqui para proteger os usuários de ataques cibernéticos e outras ameaças, mas parece que a cooperação das empresas também envolveu a transferência de dados do usuário para a Avira.

De acordo com um usuário do Reddit sob o apelido de ArmoredCavalry, em apenas um dia seu roteador TP-Link Archer AX3000 transmitiu uma enorme quantidade de dados para os servidores Avira SafeThings (*.safethings.avira.com), em apenas 24 horas mais de 80.000 solicitações foram registrados principalmente nessas plataformas, bem como em outros serviços.

“Recentemente, habilitei um gateway DNS para poder ver solicitações do meu roteador e dispositivos de rede; para encontrar mais de 80 mil solicitações (em 24 horas) para um subdomínio Avira “Coisas seguras” *. safethings.avira.com  (muito mais do que qualquer outro servidor).”

SafeThings é uma plataforma de prevenção de ameaças cibernéticas baseada em nuvem que avalia o tráfego de usuários. A própria Avira informa que esse serviço interage com roteadores domésticos para evitar comprometer os dispositivos IoT. Conforme planejado, os usuários devem ter controle total sobre os dispositivos domésticos usando um aplicativo especial.

Segundo o usuário do Reddit ArmoredCavalry, o roteador TP-Link Archer AX3000, que ele utiliza em sua casa, registrou mais de 80 mil pedidos de transferência de dados para variadores servidores da Avira, como o SafeThings.

A postagem no Reddit explicando o problema do roteador TP-Link. (Imagem: Captura de Tela/Dácio Augusto)

O SafeThings é uma plataforma por assinatura da Avira que realmente faz interface com roteadores, para permitir que redes locais possam operar sem o risco de serem afetadas por dispositivos de Internet das Coisas (IoT) que possam ser comprometidos. Além disso, ela também analisa o tráfego da conexão, para poder mitigar ameaças que tenham comportamentos atipicos. A ferramenta pode ser configurada pelos usuários.

A Avira afirma que os usuários têm total controle do SafeThings, mas a informação de ArmoredCavalry mostra um cenário interessante: o processo de análise continua mesmo quando o usuário não tem uma assinatura ativa do serviço, o que também ocorre caso todas as opções relacionadas aos softwares de segurança da empresa estejam desabilitados na configuração do dispositivo.

Embora a Avira afirme que os usuários têm controle sobre os dispositivos, descobriu-se que o serviço continua funcionando mesmo sem assinatura. Além disso, o roteador transmite dados mesmo se todos os serviços Avira/Home Shield relacionados estiverem desativados nas configurações do roteador. No entanto, “o roteador não se importa e envia TODO o tráfego para análise adicional de qualquer maneira”, disse ArmoredCavalry.

Eu tenho os serviços Avira / Home Shield completamente desligados (eu não tinha assinatura do serviço pago deles). O roteador não se importa e envia TODO o seu tráfego para análise.

Vale ressaltar que dados semelhantes apareceram anteriormente no portal XDA; de acordo com suas informações, um problema semelhante estava presente no TP-Link Deco X68. A pedido, a empresa prometeu corrigir o problema no futuro firmware; e representantes do próprio XDA esclareceram que o fabricante do roteador não informou prazos exatos para corrigir o problema.

Problemas no TP-LINK não são novos

Em maio de 2021, um problema semelhante foi relatado no site XDA, envolvendo o roteador TP-Link Deco X68. Na época, a TP-Link prometeu estudar o problema e desenvolver soluções, mas até agora nada foi apresentado.

Em janeiro do ano passado, publicamos um bug do roteador TP-Link permite que os invasores façam login sem senhas. A TP-Link corrigiu, em dezembro, uma vulnerabilidade crítica que afeta alguns de seus roteadores Archer, que podem permitir que invasores em potencial anulem suas senhas de administrador e assumam remotamente o controle dos dispositivos pela LAN através de uma conexão Telnet.

Se explorada, esta vulnerabilidade do roteador pode permitir que um invasor remoto assuma o controle da configuração do roteador via Telnet na rede local (LAN) e se conecte a um servidor FTP (File Transfer Protocol) através da LAN ou WAN (rede local) “, comentou ao Bleeping Computer Grzegorz Wypych do IBM X-Force Red .

Como o único tipo de usuário nesses roteadores é administrador com permissões de root completas, uma vez que os agentes de ameaças ignoram o processo de autenticação, eles obtêm automaticamente privilégios de administrador no roteador.

A partir daqui, “todos os processos são executados pelo usuário nesse nível de acesso, o que pode permitir que um invasor opere como administrador e assuma o controle do dispositivo“.

Os invasores não apenas podem obter acesso privilegiado, mas o usuário legítimo também pode ser bloqueado e não poderá mais efetuar login no serviço da Web por meio da interface do usuário, pois essa página não aceitaria mais nenhuma senha (sem o conhecimento do usuário) “, Acrescenta Wypych.

Nesse caso, a vítima pode perder o acesso ao console e até a um shell e, portanto, não poderá restabelecer uma nova senha“.

Na época a TP-Link já lançou patches para ajudar os clientes a proteger seus roteadores contra ataques que abusariam da vulnerabilidade de segurança atualmente rastreada como CVE-2019-7405 .

Fonte: GizchinaBleepingComputer

Veja também:

Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!