El investigador de seguridad de Google, Matthew Garrett, descubrió una vulnerabilidad de día cero en los enrutadores domésticos inteligentes TP-Link SR20. Después de que la compañía no respondió a la revelación privada, el investigador decidió hacer público el fallo.
TP-Link SR20 para vulnerabilidades Técnica
La vulnerabilidad es un día cero código arbitrario fallo de ejecución. Los routers TP-Link SR20 son de banda dual 2.4 GHz / 5 productos GHz adecuados para el control inteligente del hogar y los dispositivos IO. También apoyan a los dispositivos que se ejecutan los protocolos ZigBee y Z-Wave.
Al parecer,, el investigador informó a la falla de seguridad TP-Link privada más de 90 Hace días, pero no recibió ninguna respuesta. Los intentos de ponerse en contacto con la compañía de otras maneras también se consideraron sin éxito:
Informé a TP-Link en diciembre a través de su formulario de divulgación de la seguridad, un proceso que se hace difícil por la “Descripción detallada” campo que se está limitado a 500 personajes. La página me informó que oía dentro de los tres días hábiles – un par de semanas más tarde, sin respuesta, Pié de ellos pidiendo un contacto y oído nada de vuelta. intento de otra persona reportar vulnerabilidades TDDP mostró un resultado similar, aqui estamos.
En cuanto a la propia vulnerabilidad, el problema se debe a un proceso que estos routers pasan con frecuencia. El proceso se conoce como “TDDP”, o el Protocolo de depuración de dispositivos TP-Link. El proceso funciona a nivel de la raíz y puede iniciar dos tipos de comandos. El primero no requiere autenticación, y la segunda requiere que.
Relacionado: CVE-2018 a 15702: TP-LINK TL-WR841N Router vulnerabilidad encontrado
La vulnerabilidad expone algún tipo uno comandos. Uno de ellos, 0x1f comando, solicitud 0x01, sirve para la validación de la configuración, como se explica por Gareth.
Dumping TDDP en Ghidra hace que sea muy fácil encontrar una función que llama recvfrom(), la llamada que copia la información de una toma de red. Se ve en el primer byte del paquete y usa esto para determinar qué protocolo se está utilizando, y pasa el paquete a un despachador diferente dependiendo de la versión del protocolo. para la versión 1, el despachador sólo se ve en el segundo byte del paquete y llama a una función diferente en función de su valor. 0x31 es CMD_FTEST_CONFIG, y aquí es donde las cosas se ponen super divertido, el investigador escribió.
Lo que sucede después es que esta función analiza el paquete para una carga útil que contiene dos cadenas separadas por un punto y coma. La primera cadena es un nombre de archivo, y la segunda es una configfile. A continuación, llama tddp_execCmd(“cd / tmp; TFTP -GR% s% s &”,luaFile,remote_address) que ejecuta el comando TFTP en el fondo.
Esto conecta de nuevo a la máquina que envía el comando e intenta descargar un archivo a través de TFTP que corresponde al nombre de archivo que envió. El proceso principal TDDP espera hasta 4 segundos para el archivo que aparezcan – una vez que lo hace, se carga el archivo en un intérprete de Lua es inicializado anteriormente, y llama a la función config_test() con el nombre del archivo de configuración y la dirección remota como argumentos.
Desde config_test() es administrado por el archivo descargado desde la máquina remota, se permite la ejecución de código arbitrario en el intérprete, que incluye el método os.execute la ejecución de comandos en el host. Desde TDDP se está ejecutando como root, se obtiene ejecución de comandos arbitrarios como root, Gareth concluyó.
Un código de prueba de concepto también está disponible para la vulnerabilidad en los routers domésticos inteligente TP-Link SR20.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: