Fallo encontrado en el router y hub TP-Link SR20 que permite a un atacante ejecutar código remoto con privilegio de root. Para ello es necesario estar conectado en la misma red ya que las reglas del firewall por defecto bloquean el acceso a la WAN.

Es común encontrar en los routers TP-Link un ejecutable llamado tddp utilizado para la depuración del dispositivo. Este proceso ya ha tenido fallos en el pasado. Lo interesante es que en la versión 2 es necesario acceder con la contraseña de administrador, pero en la versión 1 no es necesario autenticarse, y resulta que el SR20 aún soporta comandos de la versión 1.

Al analizar tddp se puede ver que la función recvfrom() se encarga de copiar información de un network socket y seleccionar un protocolo a utilizar según el primer byte del paquete enviado. En la versión 1 comprueba el segundo byte para realizar una llamada a la función que va a tratar este paquete. Si este segundo byte es 0x31 llama a CMD_FTEST_CONFIG.

LEER MAS: https://unaaldia.hispasec.com/2019/04/ejecucion-remota-de-codigo-con-privilegios-de-sistema-en-dispositivos-tp-link-sr20.html