Пароль больше не нужен. В роутерах TP-Link нашли «чёрный ход» размером с грузовик
NewsMakerОказалось, что даже запертая на все замки дверь не гарантирует приватности.
В маршрутизаторе TP-Link Omada ER605 обнаружена цепочка уязвимостей , которая позволяет выполнить удалённый запуск кода без предварительной авторизации. Разбор механики атаки и воспроизведение эксплуатации опубликовал независимый исследователь, изучивший внутренний сервис динамического DNS, используемый устройством для обновления сетевых записей.
Проблема затрагивает VPN-маршрутизаторы TP-Link ER605 с версиями прошивки ниже ER605(UN)_V2_2.2.4. В центре атаки находится демон cmxddnsd, отвечающий за работу DDNS. Он запускается с максимальными правами и обрабатывает ответы серверов динамического DNS. В ходе анализа выяснилось, что обработка сетевых пакетов построена с ошибками проверки длины полей, что открывает путь к переполнению буфера и перехвату управления выполнением.
Атака строится на объединении трёх уязвимостей с идентификаторами CVE-2024-5242 , CVE-2024-5243 и CVE-2024-5244 . Первая связана с подменой служебных DDNS-сообщений из-за опоры на скрытую реализацию кодирования и встроенный ключ. Вторая и третья позволяют вызвать переполнение буфера при разборе имён серверов и кодов ошибок в ответах DDNS. Все ошибки сосредоточены в одной функции разбора входящих пакетов.
Протокол DDNS у этого производителя использует собственную схему кодирования и модифицированный Base64-алфавит вместе с DES-шифрованием. Ключ зашит прямо в бинарном файле. После обратного анализа алгоритма стало возможно формировать корректно выглядящие ответы сервера и направлять маршрутизатор по нужному сценарию обработки.
В маршрутизаторе TP-Link Omada ER605 обнаружена цепочка уязвимостей , которая позволяет выполнить удалённый запуск кода без предварительной авторизации. Разбор механики атаки и воспроизведение эксплуатации опубликовал независимый исследователь, изучивший внутренний сервис динамического DNS, используемый устройством для обновления сетевых записей.
Проблема затрагивает VPN-маршрутизаторы TP-Link ER605 с версиями прошивки ниже ER605(UN)_V2_2.2.4. В центре атаки находится демон cmxddnsd, отвечающий за работу DDNS. Он запускается с максимальными правами и обрабатывает ответы серверов динамического DNS. В ходе анализа выяснилось, что обработка сетевых пакетов построена с ошибками проверки длины полей, что открывает путь к переполнению буфера и перехвату управления выполнением.
Атака строится на объединении трёх уязвимостей с идентификаторами CVE-2024-5242 , CVE-2024-5243 и CVE-2024-5244 . Первая связана с подменой служебных DDNS-сообщений из-за опоры на скрытую реализацию кодирования и встроенный ключ. Вторая и третья позволяют вызвать переполнение буфера при разборе имён серверов и кодов ошибок в ответах DDNS. Все ошибки сосредоточены в одной функции разбора входящих пакетов.
Протокол DDNS у этого производителя использует собственную схему кодирования и модифицированный Base64-алфавит вместе с DES-шифрованием. Ключ зашит прямо в бинарном файле. После обратного анализа алгоритма стало возможно формировать корректно выглядящие ответы сервера и направлять маршрутизатор по нужному сценарию обработки.