April 25, 2024

Language:

tplink

CamSA24-04: ចំណុចខ្សោយធ្ងន់ធ្ងរបំផុតនៅក្នុងផលិតផលក្រុមហ៊ុន TP-Link

១. ព័ត៌មានទូទៅ

ក្រុមហ៊ុន TP-Link បានចេញសេចក្តីណែនាំសន្តិសុខអំពីការអាប់ដេតទៅលើចំណុចដែលងាយរងគ្រោះដើម្បីជួសជុលបិទចន្លោះប្រហោង (ចំណុចខ្សោយ) ជាច្រើន​ មានក្នុងផលិតផលរបស់ខ្លួន នាខែមករា ឆ្នាំ២០២៤ ដែលមានកម្រិតសុវត្ថិភាពធ្ងន់ធ្ងរបំផុតហើយទាមទារឱ្យមានការយកចិត្តទុកដាក់ និងមានវិធានការធ្វើការអាប់ដេតជាបន្ទាន់។ អ្នកប្រើប្រាស់ និងអ្នកគ្រប់គ្រងប្រព័ន្ធគួរត្រួតពិនិត្យអត្ថបទប្រឹក្សាខាងក្រោមនិងធ្វើបច្ចុប្បន្នភាពតាមការចាំបាច់៖

  • CVE-2024-21773, CVE-2024-21821, CVE-2024-21833: ចំណុចខ្សោយនេះមាននៅក្នុងផលិតផល TP-Link ដោយសារតែមិនបានធ្វើការត្រួតពិនិត្យកម្រិតសុវត្ថិភាពឱ្យបានត្រឹមត្រូវនៅពេលអ្នកប្រើប្រាស់បញ្ចូលព័ត៌មាន ដែលអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រ អាចធ្វើការចូលប្រព័ន្ធពីចម្ងាយ និងប្រតិបត្តិកូដបំពានបាននៅលើប្រព័ន្ធបណ្តាញដែលជាគោលដៅដោយជោគជ័យ

២.ផលិតផលដែលរងផលប៉ះពាល់

  • –    Archer AX3000 firmware versions prior to “Archer AX3000(JP)_V1_1.1.2 Build 20231115”
  • –    Archer AX5400 firmware versions prior to “Archer AX5400(JP)_V1_1.1.2 Build 20231115”
  • –    Deco X50 firmware versions prior to “Deco X50(JP)_V1_1.4.1 Build 20231122”
  • –    Deco XE200 firmware versions prior to “Deco XE200(JP)_V1_1.2.5 Build 20231120”
  • –    Archer AXE75 firmware versions prior to “Archer AXE75(JP)_V1_231115”

៣. ផលប៉ៈពាល់

ការវាយលុកដោយជោគជ័យ និងអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើការដំណើរការកូដពីចម្ងាយ ដើម្បីធ្វើការគ្រប់គ្រងទាំងស្រុង​ទៅ​លើផលិតផល Archer AX3000, Archer AX5400, Deco X50, Deco XE200, Archer AXE75។

៤. ដំណោះស្រាយ

អ្នកប្រើប្រាស់ និងអភិបាលគ្រប់គ្រង ត្រូវធ្វើការអាប់ដេតទៅកាន់កំណែចុងក្រោយ ជាបន្ទាន់តាមដែលអាចធ្វើទៅបាន។

៥. ឯកសារពាក់ព័ន្ធ

  • –    https://jvn.jp/en/vu/JVNVU91401812/
  • –    https://www.redpacketsecurity.com/multiple-tp-link-products-command-execution-cve-2024-21833/
***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.