Googles sikkerhedsforsker Matthew Garrett opdagede en nul-dages sårbarhed i TP-Link SR20 Smart Home-routere. Efter virksomheden har undladt at reagere på den direkte meddelelse, forskeren besluttet at gøre fejl offentlighed.
TP-Link SR20 Sårbarhed Teknisk oversigt
Sårbarheden er en zero-day vilkårlig kode bug. TP-LINK SR20 routere er dual-band 2.4 GHz / 5 GHz produkter egnet til styring af intelligente hjem og tingenes internet-enheder. De understøtter også enheder, der kører de ZigBee og Z-Wave-protokoller.
Tilsyneladende, forskeren rapporterede sikkerhedshul til TP-Link privat mere end 90 dage siden, men han modtog ikke noget svar. Forsøg på at kontakte virksomheden på andre måder blev også anset for forgæves:
Jeg rapporterede dette til TP-Link i december via deres sikkerhed afsløring formular, en proces, der blev vanskeliggjort af den “Detaljeret beskrivelse” felt er begrænset til 500 tegn. Den side meddelt mig, at jeg ville høre tilbage inden for tre dage – et par uger senere, med intet svar, Jeg tweeted på dem beder om en kontakt og ikke hørt noget tilbage. En andens forsøg på at rapportere tddp sårbarheder havde en lignende udfald, så her er vi.
Hvad angår selve sårbarheden, problemet skyldes en proces, at disse routere kører ofte. Fremgangsmåden er kendt som ”tddp”, eller TP-Link Device Debug protokollen. Processen kører ved roden og kan indlede to typer kommandoer. Den første kræver ikke godkendelse, og den anden kræver det.
Relaterede: CVE-2018-15.702: TP-LINK TL-WR841N Router sårbarhed Fundet
Sårbarheden udsætter nogle type én kommandoer. En af dem, kommando 0x1f, anmodning 0x01, tjener til konfiguration validering, som forklaret af Gareth.
Dumping tddp ind Ghidra gør det temmelig nemt at finde en funktion, der kalder recvfrom(), det opkald, kopier oplysninger fra et netværk sokkel. Det ser på den første byte af pakken og anvender denne til at bestemme hvilken protokol er i brug, og passerer pakken videre til en anden afsender afhængig af protokol versionen. For versionen 1, afsenderen bare ser på den anden byte af pakken og kalder en anden funktion, afhængigt af dens værdi. 0x31 er CMD_FTEST_CONFIG, og det er her tingene bliver super sjov, forskeren skrev.
Hvad sker der næste er, at denne funktion parser pakken til en nyttelast, der indeholder to strenge adskilt af et semikolon. Den første streng er et filnavn, og den anden er en configfile. Det kalder derefter tddp_execCmd(“cd / tmp; tftp -GR% s% s &”,luaFile,REMOTE_ADDRESS) som udfører tftp kommando i baggrunden.
Dette forbinder tilbage til maskinen, der sendte kommandoen og forsøg på at hente en fil via tftp svarer til filnavnet det sendt. Den vigtigste tddp proces venter op til 4 sekunder for den fil, der vises – når den gør, det indlæser fil i en Lua tolk det initialiseret tidligere, og kalder funktionen config_test() med navnet på konfigurationsfilen og fjernbetjeningen adresse som argumenter.
da config_test() administreres af filen downloades fra den eksterne maskine, vilkårlig kode i tolken er tilladt, som omfatter os.execute fremgangsmåden kører kommandoer på værten. Eftersom tddp kører som root, du får vilkårlige kommandoer som root, Gareth konkluderede.
En proof-of-concept-kode er også tilgængelig for sårbarheden i TP-Link SR20 Smart Home routere.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: