Source: Medium — Le chercheur Mehrun publie une analyse détaillée d’une zero-day signalée à TP-Link le 11 mai 2024 et toujours non corrigée au moment de la publication, affectant l’implémentation CWMP/TR-069 de plusieurs routeurs, dont les Archer AX10 et AX1500.

⚠️ Vulnérabilité et cause racine: L’étude décrit un dépassement de pile (stack-based buffer overflow) dans une fonction du composant CWMP qui traite les messages SOAP SetParameterValues. Une taille dérivée des données d’entrée est utilisée directement dans une copie mémoire sans contrôle strict des limites vers un tampon de pile, ouvrant la voie à une exécution de code à distance (RCE).

Méthodologie et validation: La faille a été découverte via analyse de flux de données (taint analysis) automatisée sur des binaires dépouillés, qui a mis en évidence l’usage dangereux de paramètres contrôlés par l’utilisateur dans des calculs de taille puis une copie non bornée. Une preuve de concept utilisant un serveur ACS (GenieACS) et des messages SOAP spécialement conçus a provoqué un crash du service CWMP et démontré la prise de contrôle du registre PC, confirmant l’exploitabilité RCE.

Impact et exposition: Les TP-Link Archer AX10 et AX1500 sont explicitement concernés, et d’autres modèles partageant le même code CWMP pourraient l’être. Une recherche FOFA recense plus de 4 000 équipements exposés sur Internet, rendant la menace réaliste et à grande échelle, d’autant que des facteurs aggravants sont cités (identifiants par défaut, mots de passe faibles, vulnérabilités additionnelles, ingénierie sociale, etc.).

Recommandations rapportées: Pour TP-Link, publication urgente d’un correctif, audit de sécurité complet de CWMP, validation stricte des entrées et activation de mécanismes de mitigation (ASLR, NX, canary). Pour les utilisateurs, surveillance des mises à jour, renforcement des mots de passe, désactivation de TR-069 si non nécessaire, surveillance de la configuration et segmentation réseau. La communauté est invitée à étendre la recherche à d’autres fournisseurs, outiller l’analyse automatisée et soutenir une réponse coordonnée.

TTPs observés:

  • Abus du protocole CWMP/TR-069 via des messages SOAP SetParameterValues forgés.
  • Déploiement d’un ACS malveillant après modification de l’URL CWMP dans la configuration du routeur.
  • Dépassement de pile menant à un crash puis contrôle du flot d’exécution (RCE).
  • Usage d’outils d’analyse automatisée (taint analysis) pour la découverte sur binaires embarqués.

Conclusion: Il s’agit d’un rapport de vulnérabilité technique visant à documenter une faille zero-day critique et à alerter sur son impact et ses conditions d’exploitation.

🔗 Source originale : https://blog.byteray.co.uk/zero-day-alert-automated-discovery-of-critical-cwmp-stack-overflow-in-tp-link-routers-0bc495a08679