Сотрудник Google выложил 0day-эксплойт для маршрутизаторов TP-Link SR20


    Домашний маршрутизатор TP-Link SR20 появился на рынке в 2016 году

    Маршрутизаторы TP-Link известны многочисленными уязвимостями. Но обычно производитель старается вовремя опубликовать патчи и новые версии прошивки после того, как получает информацию о баге. Но сейчас компания не успела уложиться в 90 дней, положенные по негласным правилам — и поплатилась за это. Инженер Google Мэтью Гарретт опубликовал в открытом доступе эксплойт, допускающий возможность удалённого исполнения кода с получением рутового доступа.


    Мэтью Гарретт допускает, что эксплойт сработает и на других устройствах TP-Link, а не только на домашнем маршрутизаторе SR20.

    38-строчный скрипт показывает, что можно выполнить любую команду с рутовыми правами root, без аутентификации.

    В твиттере Гарретт объяснил, что устройства TP-Link часто поддерживают протокол отладки TDDP (TP-Link Device Debug Protocol), в котором раньше было найдено несколько уязвимостей. Например, первая версия протокола не требует пароля для обмена пакетами по TDDP.

    «В SR20 по-прежнему остались некоторые команды из первой версии, одна из которых (команда 0x1f, запрос 0x01), похоже, предназначена для какой-то проверки конфигурации, — написал Гарретт. — Вы посылаете имя файла, точку с запятой, а затем аргумент».

    Маршрутизатор отвечает на запрос по TFTP, запрашивает имя файла, импортирует его в интерпретатор Lua, работающий с рутовыми правами, и передаёт аргумент функции config_test() в импортированном файле.


    В такой системе метод os.execute() позволяет выполнить любую команду с рутовыми правами.

    Правда, масштаб бедствия не слишком большой, потому что конфигурация файрвола по умолчанию блокирует сетевой доступ по TDDP. То есть злоумышленник не может взломать произвольный маршрутизатор SR20, который обнаружит в интернете путём сканирования через Shodan. Нужно сначала установить трояна на компьютер, который подключен к маршрутизатору, и уже с него работать с маршрутизатором.

    Гарретт решил опубликовать информацию для всех, чтобы компания внедрила рабочий какой-нибудь канал для сообщения об уязвимостях и больше не оставляла демоны отладки в производственной прошивке.
    Поделиться публикацией

    Комментарии 0

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое