Домашний маршрутизатор TP-Link SR20 появился на рынке в 2016 году
Маршрутизаторы TP-Link известны многочисленными уязвимостями. Но обычно производитель старается вовремя опубликовать патчи и новые версии прошивки после того, как получает информацию о баге. Но сейчас компания не успела уложиться в 90 дней, положенные по негласным правилам — и поплатилась за это. Инженер Google Мэтью Гарретт опубликовал в открытом доступе эксплойт, допускающий возможность удалённого исполнения кода с получением рутового доступа.
Мэтью Гарретт допускает, что эксплойт сработает и на других устройствах TP-Link, а не только на домашнем маршрутизаторе SR20.
38-строчный скрипт показывает, что можно выполнить любую команду с рутовыми правами root, без аутентификации.
В твиттере Гарретт объяснил, что устройства TP-Link часто поддерживают протокол отладки TDDP (TP-Link Device Debug Protocol), в котором раньше было найдено несколько уязвимостей. Например, первая версия протокола не требует пароля для обмена пакетами по TDDP.
«В SR20 по-прежнему остались некоторые команды из первой версии, одна из которых (команда 0x1f, запрос 0x01), похоже, предназначена для какой-то проверки конфигурации, — написал Гарретт. — Вы посылаете имя файла, точку с запятой, а затем аргумент».
Маршрутизатор отвечает на запрос по TFTP, запрашивает имя файла, импортирует его в интерпретатор Lua, работающий с рутовыми правами, и передаёт аргумент функции config_test() в импортированном файле.
В такой системе метод os.execute()
позволяет выполнить любую команду с рутовыми правами.
Правда, масштаб бедствия не слишком большой, потому что конфигурация файрвола по умолчанию блокирует сетевой доступ по TDDP. То есть злоумышленник не может взломать произвольный маршрутизатор SR20, который обнаружит в интернете путём сканирования через Shodan. Нужно сначала установить трояна на компьютер, который подключен к маршрутизатору, и уже с него работать с маршрутизатором.
Гарретт решил опубликовать информацию для всех, чтобы компания внедрила рабочий какой-нибудь канал для сообщения об уязвимостях и больше не оставляла демоны отладки в производственной прошивке.
Автор: alizar