Der Google-Sicherheitsforscher Matthew Garrett hat eine Zero-Day-Schwachstelle in TP-Link SR20 Smart Home Routern entdeckt. Nachdem das Unternehmen scheiterte an die privaten Offenlegung zu reagieren, die Forscher beschlossen, die Fehler öffentlich zu machen.
TP-Link SR20 Vulnerability Technischer Überblick
Die Sicherheitslücke ist ein Zero-Day der Ausführung beliebigen Codes bug. Die TP-Link SR20-Router sind Dual-Band 2.4 GHz / 5 GHz-Produkte geeignet zur Steuerung von Smart Home und IoT-Geräten. Sie unterstützen auch Geräte, die die ZigBee und Z-Wave-Protokollen.
Offenbar, die Forscher berichteten über die Sicherheitslücke zu TP-Link privat mehr als 90 Vor Tagen, aber er erhielt keine Antwort. Versuche, das Unternehmen auf andere Weise zu kontaktieren wurden ebenfalls erfolglos angesehen:
Ich meldete dies zu TP-Link im Dezember über ihre Sicherheit Offenlegung Form, ein Prozess, der durch die erschwerte wurde “Detaillierte Beschreibung” Gebiet beschränkt auf 500 Zeichen. Die Seite mir mitgeteilt, dass ich wieder innerhalb von drei Werktagen hören würde – später ein paar Wochen, ohne Antwort, Ich getwittert bei ihnen für einen Kontakt zu fragen und hörte nichts zurück. Jemand anderer Versuch TDDP Anfälligkeiten hatte ein ähnliches Ergebnis zu berichten, So hier sind wir.
Wie für die Verwundbarkeit selbst, das Problem ergibt sich aus einem Prozess, der diese Router häufig laufen. Das Verfahren wird als „TDDP“ bekannt ist, oder das TP-Link Device Debug-Protokoll. Der Prozess läuft auf Root-Ebene und kann zwei Arten von Befehlen initiieren. Die erste erfordert keine Authentifizierung, und die zweite ist es erforderlich.
verbunden: CVE-2018-15702: TP-LINK TL-WR841N Router Vulnerability gefunden
Die Anfälligkeit aussetzt irgendeine Art ein Kommando. Einer von ihnen, Befehl 0x1f, Anfrage 0x01, dient zur Konfiguration Validierung, wie durch Gareth erklärt.
Dumping TDDP in Ghidra macht es ziemlich einfach, eine Funktion zu finden, die Recvfrom ruft(), die Anruf, dass Kopien von Informationen von einem Netzwerk-Socket. Es sieht auf dem ersten Byte des Pakets und verwendet diese, welches Protokoll zu bestimmen, verwendet wird, und leitet das Paket an einen anderen Dispatcher in Abhängigkeit von der Protokollversion. für die Version 1, der Dispatcher sieht nur an dem zweiten Byte des Pakets und rief eine andere Funktion in Abhängigkeit von seinem Wert. 0x31 ist CMD_FTEST_CONFIG, und das ist, wo die Dinge super Spaß, die Forscher schrieben.
Was dann geschieht, ist, dass diese Funktion das Paket für eine Nutzlast parst, die durch ein Semikolon getrennt zwei Strings enthält. Der erste String ist ein Dateiname, und das zweite ist ein configfile. Es ruft dann tddp_execCmd(“cd / tmp; tftp -gr% s% s &”,luaFile,REMOTE_ADDRESS) das führt den TFTP-Befehl im Hintergrund.
Dies verbindet sich mit dem Gerät zurück, der den Befehl gesendet und versucht, eine Datei über TFTP an den Dateinamen es geschickt entsprechenden herunterladen. Der Haupt TDDP Prozess wartet, bis 4 Sekunden, bis die Datei angezeigt werden – sobald es tut, es lädt die Datei in einen Interpreter Lua es früher initialisiert, und ruft die Funktion config_test() mit dem Namen der Konfigurationsdatei und der Remote-Adresse als Argumente.
da config_test() wird durch die Datei heruntergeladen von der entfernten Maschine verabreicht, willkürliche Ausführung von Code in dem Interpreter erlaubt, die beinhaltet das os.execute Methodenbefehle auf dem Host ausgeführt. Da TDDP als Root ausgeführt wird, Sie erhalten beliebige Befehlsausführung als root, Gareth abgeschlossen.
Ein Proof-of-Concept-Code ist auch für die Verwundbarkeit in TP-Link SR20 Smart-Home-Router verfügbar.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: