Kritična ranjivost prekoračenja bafera , identifikovana kao CVE-2024-54887, otkrivena je u TP-Link TL-WR940N ruterima, posebno utičući na verzije hardvera 3 i 4 sa verzijom firmvera 3.16.9 i ranije.
Ova mana omogućava autentifikovanim napadačima da izvršavaju proizvoljni kod na daljinu, što predstavlja značajan sigurnosni rizik za korisnike.
Čini se da je osnovni uzrok prelivanje bafera u web interfejsu rutera, posebno u rukovanju parametrima DNS servera za IPv6 tuneliranje.
Pregled ranjivosti prekoračenja bafera TP-Link rutera
Prema Jowardu Binceu, istraživaču sigurnosti, ranjivost proizilazi iz nepravilne validacije unosa u httpd demonu rutera. Dva parametra, dnsserver1 i dnsserver2, koji se koriste za konfigurisanje IPv6 DNS servera, nisu pravilno provjereni dužine prije kopiranja u bafer fiksne veličine.
Ova mana omogućava napadaču da preplavi bafer i potencijalno prepiše kritična memorijska područja, uključujući povratnu adresu na steku.
Istraživači su koristili Firmadyne okvir da emuliraju firmver rutera za analizu. Montiranjem sistema podataka i ispitivanjem httpd binarne datoteke u Ghidri, otkrili su da uređaju nedostaju i NX (No-Execute) i PIE (Position Independent Executable) zaštite, što olakšava eksploataciju.
Ranjiva funkcija je identifikovana povezivanjem web zahtjeva sa pozadinskim funkcijama. Nesigurni pozivi C funkcija poput strcpy() bili su ključni indikatori.
Utvrđeno je da, dok su neke provjere dužine niza bile na mjestu, parametri dnsserver1 i dnsserver2 su ostavljeni neprovjereni.
Dokaz koncepta
Eksploatacija dokaza o konceptu razvijena je pomoću Pythona . Lanac eksploatacije uključuje:
- Pokretanje prelivanja bafera
- Prepisivanje povratne adrese i drugih registara
- Korištenje gadžeta ROP (programiranje usmjereno na povratak) za kontrolu toka izvršavanja
- Ubacivanje i izvršavanje shell koda
Uticaj ove ranjivosti je ozbiljan, jer omogućava autentifikovanom napadaču da izvrši proizvoljni kod sa root privilegijama. Potencijalne maliciozne radnje uključuju:
- Instaliranje trajnih backdoor-a
- Presretanje mrežnog saobraćaja
- Korištenje rutera kao dijela botneta
- Izmjena DNS postavki za phishing napade
TP-Link je potvrdio da su verzije hardvera 3 i 4 TL-WR940N dostigle status na kraju životnog vijeka i da neće primati daljnja sigurnosna ažuriranja. Korisnicima ovih modela se preporučuje da nadograde na novije, podržane modele rutera sa trenutnim sigurnosnim funkcijama.
Izvor: CyberSecurityNews