Найти в Дзене
avencores.
485 подписчиков

Критические уязвимости в шлюзах TP-Link ER605: Удаленное выполнение кода (RCE) через DDNS

4
2 мин
В популярных VPN-маршрутизаторах TP-Link ER605 серии Omada, которые позиционируются производителем как профессиональные решения для малого и среднего бизнеса (SMB), обнаружена цепочка критических уязвимостей. Исследователи выявили проблемы безопасности (CVE-2024-5242, CVE-2024-5243, CVE-2024-5244), позволяющие злоумышленникам получить полное управление устройством с правами суперпользователя (root) без прохождения аутентификации. Корень проблемы находится в демоне cmxddnsd, который отвечает за работу службы динамического DNS (DDNS). Данный процесс запущен в системе с максимальными привилегиями, что является грубым нарушением принципа наименьших привилегий. Разработчики TP-Link использовали устаревшие и небезопасные методы защиты трафика DDNS: - Использование алгоритма шифрования DES, который официально считается небезопасным и устаревшим уже много лет. - Применение модифицированного Base64. - Хранение ключа шифрования в открытом виде (hardcoded) непосредственно в бинарном файле демона.
Оглавление

В популярных VPN-маршрутизаторах TP-Link ER605 серии Omada, которые позиционируются производителем как профессиональные решения для малого и среднего бизнеса (SMB), обнаружена цепочка критических уязвимостей. Исследователи выявили проблемы безопасности (CVE-2024-5242, CVE-2024-5243, CVE-2024-5244), позволяющие злоумышленникам получить полное управление устройством с правами суперпользователя (root) без прохождения аутентификации.

Технические детали уязвимости

Корень проблемы находится в демоне cmxddnsd, который отвечает за работу службы динамического DNS (DDNS). Данный процесс запущен в системе с максимальными привилегиями, что является грубым нарушением принципа наименьших привилегий.

Проблемы криптографии и протокола

Разработчики TP-Link использовали устаревшие и небезопасные методы защиты трафика DDNS:

- Использование алгоритма шифрования DES, который официально считается небезопасным и устаревшим уже много лет.

- Применение модифицированного Base64.

- Хранение ключа шифрования в открытом виде (hardcoded) непосредственно в бинарном файле демона.

Это позволило исследователям провести реверс-инжиниринг протокола и создать механизм генерации валидных ответов от имени сервера. Для успешной атаки требуется позиция Man-in-the-Middle (MitM), например, через поддельный DHCP-сервер в локальной сети, чтобы перехватить запрос роутера и подменить ответ.

Цепочка эксплуатации

Атака реализуется в два этапа, обходя современные методы защиты памяти:

1. Обход ASLR (Address Space Layout Randomization): Злоумышленник отправляет специально сформированный пакет с избыточным размером данных. Из-за отсутствия проверки длины полей происходит переполнение глобальных структур данных, что приводит к утечке адресов памяти. Это позволяет атакующему узнать смещения в памяти, необходимые для следующего шага.

2. Переполнение стека и RCE: На втором этапе в поле ErrorCode внедряется полезная нагрузка. Это вызывает переполнение стека и перезапись адреса возврата. Вместо обработки ошибки демон передает управление на шелл-код атакующего.

Последствия и затронутые версии

Эксплуатация уязвимости дает атакующему полный контроль над шлюзом (root-доступ). Это позволяет перехватывать весь трафик, изменять конфигурацию сети, устанавливать бэкдоры или использовать устройство для атак на внутреннюю сеть предприятия.

Рекомендации по устранению

Уязвимость устранена в обновлении прошивки версии 2.2.4 и выше.

- Необходимо срочно проверить версию ПО на всех устройствах TP-Link ER605 в инфраструктуре.

- Если обновление невозможно, следует изолировать Management VLAN и ограничить доступ к сегменту управления, хотя это не гарантирует полной защиты от атак из LAN-сегмента при наличии MitM.

⬇️Поддержать автора⬇️

✅SBER: 2202 2050 1464 4675