Пароль больше не нужен. В роутерах TP-Link нашли «чёрный ход» размером с грузовик

В маршрутизаторе TP-Link Omada ER605 обнаружена цепочка уязвимостей, которая позволяет выполнить удалённый запуск кода без предварительной авторизации. Разбор механики атаки и воспроизведение эксплуатации опубликовал независимый исследователь, изучивший внутренний сервис динамического DNS, используемый устройством для обновления сетевых записей.

Проблема затрагивает VPN-маршрутизаторы TP-Link ER605 с версиями прошивки ниже ER605(UN)_V2_2.2.4. В центре атаки находится демон cmxddnsd, отвечающий за работу DDNS. Он запускается с максимальными правами и обрабатывает ответы серверов динамического DNS. В ходе анализа выяснилось, что обработка сетевых пакетов построена с ошибками проверки длины полей, что открывает путь к переполнению буфера и перехвату управления выполнением.

Атака строится на объединении трёх уязвимостей с идентификаторами CVE-2024-5242, CVE-2024-5243 и CVE-2024-5244. Первая связана с подменой служебных DDNS-сообщений из-за опоры на скрытую реализацию кодирования и встроенный ключ. Вторая и третья позволяют вызвать переполнение буфера при разборе имён серверов и кодов ошибок в ответах DDNS. Все ошибки сосредоточены в одной функции разбора входящих пакетов.

Протокол DDNS у этого производителя использует собственную схему кодирования и модифицированный Base64-алфавит вместе с DES-шифрованием. Ключ зашит прямо в бинарном файле. После обратного анализа алгоритма стало возможно формировать корректно выглядящие ответы сервера и направлять маршрутизатор по нужному сценарию обработки.

Эксплуатация проходит в два этапа. Сначала злоумышленник добивается утечки адресов из памяти через переполнение глобальных структур и отправку специально искажённого DNS-запроса увеличенного размера. Это позволяет обойти рандомизацию адресного пространства. Затем используется переполнение стека в поле ErrorCode. Через него подменяется адрес возврата и формируется цепочка ROP-вызовов для запуска системной команды.

Для проведения атаки требуется позиция посредника в сетевом трафике между устройством и внешними DNS-серверами. В описанном сценарии применялся поддельный DHCP-сервер, который выдаёт себя за шлюз и DNS-узел. После этого весь внешний трафик маршрутизатора проходит через узел атакующего, что даёт возможность подменять ответы DDNS-службы.

В результате возможно выполнение команд в системе с правами администратора устройства. Ограничения на длину полезной нагрузки обходятся загрузкой вспомогательного сценария с удалённого сервера. PoC-эксплойт уже выложен автором исследования в открытый доступ. Производителю рекомендуется обновить прошивку до исправленной версии.