Googleのセキュリティ研究者によると、TP-LinkのオールインワンSR20スマートホームルーターでは、ローカルネットワーク接続から任意のコマンド実行が可能だという。
TP-Link に問題を報告して何の返答もなかった 90 日後の水曜日、著名な Google セキュリティ エンジニアでありオープンソース貢献者の Matthew Garrett 氏は、TP-Link のルーターに影響を及ぼす脆弱性を実証する概念実証エクスプロイトを公開した。
38行のスクリプトは、認証なしでデバイス上でルート権限を使って任意のコマンドを実行できることを示しています。SR20は2016年に発表されました。
ギャレット氏はTwitterで、TP-LinkのハードウェアにはTDDP(TP-Linkデバイスデバッグプロトコル)が組み込まれていることが多く、過去に複数の脆弱性が発見されていると説明した。そのうち、バージョン1ではパスワードが不要だった。
Huaweiの不十分なルーターパッチ適用により、ボットネットへの攻撃が可能に
続きを読む
「SR20はまだバージョン1のコマンドをいくつか公開しており、そのうちの1つ(コマンド0x1f、リクエスト0x01)は何らかの設定検証のためのものと思われます」と彼は述べた。「ファイル名、セミコロン、そして引数を送信します。」
ギャレット氏によると、ルータはコマンドを受信すると、TFTP 経由で要求元のマシンに応答し、ファイル名を要求し、それをルートとして実行されている Lua インタープリタにインポートし、config_test()インポートされたファイル内の関数に引数を送信します。
Luaos.execute()メソッドは、オペレーティングシステムのシェルで実行するコマンドを渡します。インタープリターはルート権限で実行されるため、任意のコマンドを実行できるとGarret氏は説明します。
しかし、TDDPはすべてのインターフェースをリッスンしますが、デフォルトのファイアウォールはネットワークアクセスをブロックします、とギャレット氏は言います。そのため、この問題は、11月にTP-Linkの1GbE VPNルーターで確認されたリモートコード実行の脆弱性ほど懸念されていません。
それでも、攻撃者が SR20 ルーターに接続されたマシンに悪意のあるダウンロードを実行できた場合、ローカル攻撃に対する脆弱性が悪用される可能性があります。
TP-Linkはコメント要請にすぐには応じなかった。
ギャレット氏は、TP-Link 社に対し、セキュリティ上の欠陥を報告する手段を提供し、製品版ファームウェアにデバッグ デーモンを同梱しないように求めることで、自身の暴露を締めくくりました。®
