Luka w modemach Livebox TP

Livebox TP to urządzenie dostępowe do internetu, oferowane jako opcja dodatkowa użytkownikom neostrady, które umożliwia m.in. bezprzewodowy dostęp do internetu.

Kilka dni temu serwis SecurityFocus.com poinformował o odkryciu luki w tym urządzeniu, a dokładnie błędu w aplikacji ADI Convergence Galaxy FTP Server w wersji 1.0 (inne wersje również mogą zawierać błąd). Umożliwa ona przepełnienie bufora i zawieszenie tej aplikacji poprzez przesłanie specjalnie przygotowanych pakietów danych (atak DoS) do usługi FTP.

Zdaniem analityków z CERT Polska, ten rodzaj błędu nie wyklucza prawdopodobieństwa wykorzystania go do zdalnego wykonania kodu. Jeśli jednak modem ten pracuje w domyślnych ustawieniach, nie ma możliwości ataku spoza sieci lokalnej (LAN).

Na razie brak jest aktualizacji eliminujących opisywany błąd. Serwis Secunia.com oznaczył lukę jako średnio groźną i zaleca użytkownikom Livebox TP ograniczyć dostęp sieciowy do usługi FTP. Specjaliści z CERT Polska polecają dodatkowo, jako rozwiązanie tymczasowe, upewnić się, że nie jest możliwe zarządzanie modemem spoza sieci LAN, a w sieci bezprzewodowej włączyć standard szyfrowania WPA.

Serwis SecurityFocus.com opublikował exploity dowodzące istnienia tej luki (proof-of-concept). Luka została odkryta przez osobę o nicku 0in.