Google-onderzoeker vindt zero day in routers van TP-Link

Security engineer Matthew Garrett van Google heeft een zero day-kwetsbaarheid in de SR20 smart home-routers van TP-Link openbaar gemaakt. Het bedrijf zou niet gereageerd hebben toen de onderzoeker de kwetsbaarheid aan hen bekendmaakte.

De fout is een arbitrary code execution (ACE) fout in TP-Link SR20-routers. Dat zijn dual band 2,4 GHz / 5 GHz-producten die neergezet worden als routers die in staat zijn om smart home- en IoT-apparaten aan te sturen, terwijl er minder kans is op bottlenecks. Ook ondersteunt de SR20 apparaten die gebruikmaken van de ZigBee- en Z-Wave-protocollen.

Volgens Garrett zit het probleem in een proces dat vaak uitgevoerd wordt door TP-Link. Het gaat om ‘tddp’, het TP-Link Device Debug Protocol. Dit proces draait op root-niveau en kan twee vormen van commando’s initiëren. Eén type (type one) heeft geen authenticatie nodig, en een type (type two) heeft dat wel nodig.

De kwetsbaarheid maakt een aantal van de type one-commando’s openbaar. Eén daarvan – command 0x1f, request 0x01 – lijkt voor een configuratievalidatie te zijn. Via dat commando is het voor een aanvaller mogelijk als root-gebruiker te werken op een lokaal netwerk, wat uiteindelijk kan resulteren in de volledige overname van een kwetsbaar apparaat.

Bekendmaking

Garrett maakte de bug bekend nadat TP-Link de kwetsbaarheid niet binnen 90 dagen had opgelost, meldt ZDNet. Die 90 dagen is een tijdsframe binnen de cybersecurity wat gezien wordt als een redelijke tijd om gerapporteerde beveiligingsproblemen op te lossen.

Garrett zegt de fout ruim negentig dagen geleden bij TP-Link te hebben gemeld. Het bedrijf beloofde binnen drie werkdagen te reageren, maar weken later was er nog geen antwoord. Ook bleek het niet mogelijk om het bedrijf via andere kanalen te bereiken.

“Als je een webformulier hebt om beveiligingsproblemen te melden, zorg dan dat er ook iemand daadwerkelijk op reageert”, aldus Garrett.