Tersine mühendislik ve istismar geliştirmeyi araştıran bir güvenlik araştırmacısı, TP-Link TL-WR940N yönlendiricisinde, özellikle en son sürüme kadar tüm donanım yazılımları ile birlikte donanım sürüm 3 ve 4’ü etkileyen kritik bir güvenlik açığını başarıyla tespit etti.
CVE-2024-54887 olarak belgelenen bu güvenlik açığı, yığın arabellek taşmasından yararlanma yoluyla olası rastgele uzaktan kod yürütülmesine (RCE) olanak tanıyor.
Araştırmacı, istismarın uygulanabilirliğini göstermek için statik ve dinamik analiz, MIPS Linux için kabuk kodu geliştirme ve Dönüş Odaklı Programlama (ROP) gibi tekniklerden yararlandı.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Güvenlik Açığı Analizi
Araştırmacı, Firmadyne’i kullanarak yönlendiricinin donanım yazılımını taklit ederek işe başladı; bu, işlevselliğinin kapsamlı bir şekilde incelenmesini kolaylaştırdı.
Ghidra gibi araçlarla yapılan statik analiz sırasında Yürütülemeyen (NX) ve Konumdan Bağımsız Yürütülebilir Öğeler (PIE) gibi temel güvenlik önlemlerinin bulunmadığı ortaya çıktı.
Analiz, sınırsız çağrıları belirledi strcpy() DNS sunucusu ayarlarının işlenmesinden sorumlu kodda, özellikle de dnsserver1 Ve dnsserver2 parametreler.
Bu kusur, yığın arabellek taşması riski oluşturarak saldırganın bitişik bellek alanlarının üzerine yazmasına ve cihazın yürütme akışını kontrol etmesine olanak tanır.
Geliştirmeden Yararlanma
Araştırmacı, belirlenen güvenlik açığını kullanarak, MIPS mimarisine uygun ROP tekniklerinden yararlanan bir istismar hazırladı.
Geliştirme, kabuk kodunun kontrollü yürütülmesini kolaylaştırmak için bir dizi gadget’ın oluşturulmasını içeriyordu.
İlk testler, yönlendiricide komutları yürütmek için kritik kayıtların üzerine yazma ve kötü amaçlı yükleri ekleme yeteneğini doğruladı.
Son istismar, yönlendiricide kimlik doğrulaması yapabilen ve bir bağlama kabuğu oluşturmak için kabuk kodunu çalıştırabilen bir Python betiğinde kapsüllendi.
Kullanım sonrası testler gerçekleştirildi ve bu testler, istismarın ele geçirilen cihazdan 4444 numaralı bağlantı noktasında bir bağlama kabuğunu tetiklemedeki etkinliğini doğruladı.
Araştırmacı bulguları TP-Link’e iletti; TP-Link, sorunu kabul etti ve etkilenen donanım sürümlerinin kullanım ömrü sonu durumuna ulaştığını ve bunun sonucunda başka güvenlik güncellemesi yapılmadığını açıkladı.
9 Ocak 2025 itibarıyla güvenlik açığı, atanan CVE numarasıyla resmi olarak belgelendi ve bu, IoT güvenlik araştırması alanına önemli bir katkı anlamına geliyor.
Bu keşif, gömülü sistemler için, özellikle de resmi desteğin kesilmesine rağmen aktif kullanımda kalanlar için sürekli güvenlik değerlendirmelerinin öneminin altını çiziyor.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri