W devmasters.pl zawsze doceniamy dobrą, hackerską robotę, dlatego śledzimy zawody z cyklu Pwn2Own. Oprócz standardowych ataków na hypervisory, przeglądarki czy samochody, dużą popularnością cieszą się eksploity na domowe urządzenia sieciowe oraz IoT.
Niestety, szczegóły dotyczące zidentyfikowanych błędów często nie są od razu dostępne, aby dać producentom czas na wdrożenie poprawek. Tym razem znaleziono błędy w routerze TP-Link ER605, które firma naprawiła w najnowszej wersji firmware V2.20.2.4.
Firma Claroty, uczestnicząca w zeszłorocznej edycji Pwn2Own w Toronto, opublikowała dwa artykuły opisujące swoje odkrycia. Router TP-Link ER605, przeznaczony dla małych przedsiębiorstw i zastosowań domowych, oferuje gigabitową łączność, wbudowany firewall, ochronę przed atakami DoS oraz zarządzanie przez chmurę. Specyfikacja wygląda dobrze, ale bezpieczeństwo takich urządzeń wymaga ciągłej weryfikacji.Badacze odkryli łańcuch podatności składający się z trzech luk:CVE-2024-5242 – zdalne wykonanie kodu przez przepełnienie bufora na stosie.CVE-2024-5243 – obejście mechanizmu ASLR.CVE-2024-5244 – niepoprawna walidacja serwera DDNS.
CVE-2024-5244 – niepoprawna walidacja serwera DDNS
TP-Link ER605 używa kryptografii symetrycznej (algorytm 3DES ze stałym kluczem) do obsługi DDNS. Znajomość klucza pozwala na podszycie się pod serwer DDNS, co otwiera drogę do dalszych ataków.
CVE-2024-5242 – zdalne wykonanie kodu przez przepełnienie bufora na stosie
Podszycie się pod serwer DDNS umożliwia przesyłanie komunikatów, które są parsowane przez urządzenie. Usługa przetwarzająca pakiety (cmxddnsd) kopiuje dane bez sprawdzenia ich rozmiaru, co prowadzi do przepełnienia bufora na stosie.
CVE-2024-5243 – obejście mechanizmu ASLR
Obejście ASLR było możliwe dzięki błędowi OOB read w usłudze DNS. Przepełnienie na stosie pozwalało na nadpisanie zmiennej odpowiedzialnej za wielkość zwracanej odpowiedzi, co ujawniało adresy wskaźników i umożliwiało wyliczenie bazowych adresów pamięci.
Podsumowanie
Atakujący musiał wykonać kilka kroków: podszyć się pod dostawcę DDNS (CVE-2024-5242), wykonać zapytania DNS, aby wyznaczyć układ pamięci (CVE-2024-5244), i wykorzystać przepełnienie bufora na stosie (CVE-2024-5243). Atakowanie domowych urządzeń staje się coraz trudniejsze, ale wciąż jest łatwiejsze niż ataki na nowoczesne systemy.
Gratulujemy badaczom ciekawych odkryć i przypominamy właścicielom urządzeń o konieczności aktualizacji oprogramowania.
Źródło: https://claroty.com/team82/research/pwn2own-wan-to-lan-exploit-showcase
