知道创宇云安全|防DDoS攻击_防CC攻击_免费CDN加速_网站加速_高防DNS

TP-LINK TL-R600VPN 多个 CVE 漏洞

来源：scanv2018.11.28

一、漏洞概述

1 简介

TL-R600VPN[1]，TP-LINK[2] 的 SafeStream 千兆宽带 VPN 路由器，支持 WAN 和 LAN 端口上的千兆以太网连接，保证高速有线连接。此外，它还集成了多种 VPN 协议，高安全性和高性能 VPN 功能，使员工与主办公室的远程连接与主办公室一样安全。

2018 年 11 月 19 日，Cisco Taols 公布了 TP-Link TL-R600VPN 路由器中的多个远程漏洞[3]，CVE 编号分别是:CVE-2018-3948, CVE-2018-3949, CVE-2018-3950, CVE-2018-3951。

其中，CVE-2018-3949 可通过目录穿越实现读取 /etc/shadow 文件，与 Base Page “help”一起使用时，甚至不需要身份认证。即使需要身份认证，仍然存在一些目标使用了 admin:admin 默认密码，使用默认密码的概率为 7/800。

CVE-2018-3948 通过目录穿越读取文件夹造成拒绝服务，CVE-2018-3950, CVE-2018-3951 通过特定的 HTTP 请求导致溢出，从而实现远程代码执行。

2 影响版本

CVE-2018-3948, CVE-2018-3949, CVE-2018-3950 受影响版本:TP-Link TL-R600VPN HWv3 FRNv1.3.0，HWv2 FRNv1.2.3。

CVE-2018-3951 受影响版本:TP-Link TL-R600VPN HWv3 FRNv1.3.0。

二、漏洞复现

1 复现环境

TP-LINK TL-R600VPN HWv3 FRNv1.3.0。

2 复现过程及结果

使用漏洞详情中提供的 poc[5]，即可实现目录穿越，读取到 /etc/shadow 文件。

三、漏洞影响范围

根据 ZoomEye 网络空间搜索引擎[6]对关键字 "TP-LINK Gigabit Broadband VPN Router R600VPN" 进行搜索，共得到 16,473 条 IP 历史记录，主要分布在美国、俄罗斯、巴西等国家。

随机从 Zoomeye 抽取 20 个目标进行检测，检测结果如下:

四、防护方案

1、升级固件至官方最新版本，固件下载地址:[7]

2、技术业务咨询

知道创宇技术业务咨询热线 :

400-060-9587(政府，国有企业)、028-68360638(互联网企业)

五、相关链接

[1] TP-LINK TL-R600VPN 产品链接

https://www.tp-link.com/us/products/details/cat-4909_TL-R600VPN.html

[2] TP-LINK 官网

https://www.tp-link.com.cn/

[3] 漏洞详情

https://blog.talosintelligence.com/2018/11/tplinkr600.html

[4] Seebug 收录

https://www.seebug.org/vuldb/ssvid-97681

[5] POC

https://talosintelligence.com/vulnerability_reports/TALOS-2018-0618

[6] ZoomEye 网络空间搜索引擎

https://www.zoomeye.org/searchResult?q=%22TP-LINK%20Gigabit%20Broad band%20VPN%20Router%20R600VPN%22

[7] 固件下载地址

https://static.tp-link.com/2018/201806/20180628/TL-R600VPN(UN)_v4_20180 530.zi