Keine Reaktion: Google-Forscher veröffentlicht Lücke in TP-Link-Routern

Da TP-Link auf die Information zu einer schwerwiegenden Sicherheitslücke im AC1900-Smart-Home-Router SR20 und potentiell weiteren Routern nicht innerhalb von 90 Tagen reagiert hat, macht der Google-Forscher Matthew Garrett sie nach 90 Tagen öffentlich. Sie ermöglicht die Übernahme und das Ausführen von Schadcode auf dem Router.

Wie üblich hat der Sicherheitsforscher die Zero-Day-Lücke zunächst vertraulich behandelt und an TP-Link gemeldet, um dem Unternehmen Zeit für eine Reaktion und bestenfalls ein kurzfristiges Firmware-Update vor Bekanntwerden der Sicherheitslücke zu geben. Da TP-Link allerdings auch auf mehrfache Kontaktversuche innerhalb der inzwischen üblichen Frist von 90 Tagen keinerlei Reaktion gezeigt hat, hat Garrett sie nunmehr öffentlich gemacht. Die Lücke bezieht sich mindestens auf den Smart-Home-Router TP-Link SR20, unter Umständen aber auch auf weitere Router-Modelle des Herstellers. Der SR20 ist seit dem Jahr 2016 auf dem Markt und dient mit einem integrierten Touchscreen an der Oberseite als Schaltzentrale im Smart Home, über die neben WLAN auch die Funkstandards Z-Wave und Zigbee unterstützt werden.

Debug-Funktion in Produktivfirmware integriert

Die Sicherheitslücke steckt in dem Prozess „tddp“, der von TP-Link-Routern regelmäßig ausgeführt wird und wohinter sich das TP-Link Device Debug Protocol verbirgt. Da dieser Prozess als Root ausgeführt wird, kann er Befehle ohne zusätzliche Authentifizierung ausführen, so dass Angreifer beliebigen Code auf dem Router ausführen können.

TP-Link routers frequently run a process called "tddp" (TP-Link Device Debug Protocol) as root. It's had multiple vulnerabilities in the past and the protocol is fairly well documented. Version 1 has no auth, version 2 requires the admin password.

The SR20 still exposes some version 1 commands, one of which (command 0x1f, request 0x01) appears to be for some sort of configuration validation. You send it a filename, a semicolon and then an argument.

The router then connects back to the requesting machine over TFTP, requests the filename via TFTP, imports it into a LUA interpreter and passes the argument to the config_test() function in the file it just imported. The interpreter is running as root.

The os.execute() method allows you to execute whatever you want, and you're running as root, so victory. tddp is listening on all interfaces but the default firewall rules block WAN access, so this is local network only.

Matthew Garrett

Einmalig lokaler Zugriff nötig

Da die Firewall allerdings einen Zugriff aus dem Internet auf diese Funktion blockiert, könne die Sicherheitslücke in der Debug-Schnittstelle nur im lokalen Netzwerk ausgenutzt werden, worauf ein Angreifer somit zunächst Zugriff erlangen muss. Sofern dies jedoch einmal erfolgt sei, könne der Router auch so konfiguriert werden, dass der Zugriff über das Internet möglich wird. In einem Blogeintrag geht Matthew Garrett genauer auf die Lücke ein und hat auch einen Proof-of-Concept veröffentlicht.

Nicht der erste erfolglose Hinweis an TP-Link

Bereits Ende 2016 hatte Core Security auf Sicherheitslücken in TDDP hingewiesen und diese ebenfalls veröffentlicht, nachdem von TP-Link auch in dem damaligen Fall keinerlei Reaktion auf mehrfache Kontaktversuche erfolgte.