Explotando Routers: Otro TP-Link 0-Day

En este post se hablará sobre el hallazgo (CVE-2018-16119) mientras se realiza una investigación de vulnerabilidades en un router doméstico: El router WiFi doméstico WR1043ND de TP-Link. 

Te presentamos los pasos para identificar la vulnerabilidad y cómo se puede explotar para obtener la ejecución remota de código en el dispositivo.

El dispositivo

El dispositivo en el que se realizó  esta investigación fue el router WiFi doméstico WR1043ND de TP-Link (versión de firmware 3.00).

Se empezó hacer un Pentest clásico de aplicaciones web buscando vulnerabilidades comunes en la interfaz de administración del dispositivo. La contraseña por defecto para acceder al panel de administración era admin:admin

No se encontró nada interesante alrededor de los componentes por defecto de los dispositivos, pero este dispositivo tiene una funcionalidad realmente curiosa. Cualquier propietario del dispositivo podría conectar un dispositivo externo al Router y habilitar las capacidades NAS-Kind del dispositivo, esta es una característica muy interesante y clave en la campaña de comercialización del producto de TP-Link y se puede ver en la página web del producto: https://www.tp-link.com/au/products/details/cat-9_TL-WR1043ND.html

Una vez conectado un dispositivo externo a través del puerto USB se puede utilizar la funcionalidad de Servidor Multimedia para crear y compartir carpetas/archivos a través de la Red Interna.

Cuando el dispositivo creaba una nueva carpeta, se enviaba la siguiente solicitud:

GET /TLROLZZBRWGYNWBA/userRpm/MediaServerFoldersCfgRpm.htm?displayName=testing_folder&shareEntire=%2Ftmp%2Fusbdisk%2Fvolume1&no_use_para_just_fix_ie_sub_bug=&Save=Save HTTP/1.1 Host: 192.168.0.1 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.13; rv:62.0) Gecko/20100101 Firefox/62.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://192.168.0.1/TLROLZZBRWGYNWBA/userRpm/MediaServerFoldersCfgRpm.htm Cookie: Authorization=Basic%20YWRtaW46MjEyMzJmMjk3YTU3YTVhNzQzODk0YTBlNGE4MDFmYzM%3D Connection: close Upgrade-Insecure-Requests: 1

Read more

Backed by

Hackmetrix startup chile