28. Mai 2024: Unauthentifizierter RCE in südkoreanischen Telesquare-Routern [CVE-2024-29269]

Zusammenfassung:

• Auf 2. April 2024, a PoC wurde für eine kritische, nicht authentifizierte Schwachstelle bei der entfernten Codeausführung veröffentlicht (verfolgt als CVE-2024-29269) in südkoreanischen Telesquare TLR-2005Ksh Routern. Betroffen sind die Versionen 1.0.0 und 1.1.4. Zum Zeitpunkt der Erstellung dieses Artikels wartet diese CVE noch auf eine Analyse und hat noch keinen CVSS-Score.

• Betroffene Produkte: TLR-2005Ksh ist ein LTE-Router von Telesquare, einem südkoreanischen Telekommunikationsunternehmen.

• Auswirkungen: Ein nicht authentifizierter Angreifer könnte diese Schwachstelle ausnutzen, um beliebige Systembefehle auszuführen, was zu einer vollständigen Kompromittierung des Geräts führen könnte. Dies stellt ein ernsthaftes Risiko für das Netzwerk eines Unternehmens dar, da weitere mögliche Aktionen nach der Kompromittierung Datenverletzungen, den Einsatz von Ransomware, die Aufklärung des Netzwerks oder seitliche Bewegungen im Netzwerk umfassen könnten.

• Verwertungsstatus: Es wurde zwar noch kein aktiver Angriff gemeldet, aber der Proof-of-Concept-Code ist öffentlich verfügbar, was die Einstiegshürde für Bedrohungsakteure wahrscheinlich senkt.

• Censys's Perspektive: Mit Stand vom 28. Mai 2024 hat Censys Folgendes festgestellt 3.338 Hosts, die die Telesquare TLR-2005Ksh Anmeldeschnittstelle aussetzen - obwohl nicht alle von ihnen zwangsläufig für CVE-2024-29269 anfällig sind.
• Laut einem Bericht von Strafrechtliche IPDie anfälligen Router können durch die Rücksendung eines Content-Length-Headers von 5745 Bytes identifiziert werden. Censys hat Folgendes gefunden 69 Router die dieser Beschreibung entsprechen und potenziell anfällig. Ohne weitere Beweise für die Gültigkeit dieser Fingerprinting-Technik wird jedoch empfohlen, die Version Ihres Routers lokal zu überprüfen.

• Empfehlungen für Abhilfemaßnahmen: Telesquare hat noch keinen Patch oder eine Anleitung zur Abhilfe für CVE-2024-29269 veröffentlicht. Es wird empfohlen, den Zugriff auf die Telesquare TLR-2005Ksh-Verwaltungsschnittstelle aus dem öffentlichen Internet sofort einzuschränken.

• Erkennung:
  • Censys Search Abfrage, um exponierte Telesquare-Instanzen zu finden: services.software: (Hersteller: "Telesquare" und Produkt: "TLR-2005KSH")
  • Censys ASM-Abfrage für Kunden: host.services.software: (vendor: "Telesquare" und product: "TLR-2005KSH" ) oder (web_entity.instances.software.vendor: "Telesquare" und web_entity.instances.software.product: "TLR-2005KSH")

Hintergrund

Am 2. April 2024 wird ein PoC veröffentlicht für CVE-2024-29269veröffentlicht, eine Sicherheitslücke, die Telesquare TLR-2005Ksh Versionen 1.0.0 und 1.1.4 betrifft. Die Schwachstelle resultiert aus einer unsachgemäßen Eingabevalidierung, die es Angreifern erlaubt, beliebige Systembefehle über die Cmd Parameter beliebige Systembefehle ohne jegliche Authentifizierung ausführen. Telesquare TLR-2005Ksh ist eine Reihe von LTE-Routern, die von Telesquare, einem südkoreanischen Telekommunikationsunternehmen, hergestellt werden.

Mögliche Folgen einer erfolgreichen Ausbeutung:

Die Möglichkeit, beliebige Befehle ohne Authentifizierung auszuführen, stellt ein kritisches Risiko für die betroffenen Systeme dar. Eine erfolgreiche Ausnutzung könnte zu einer vollständigen Kompromittierung des Servers führen, wodurch Bedrohungsakteure möglicherweise sensible Daten stehlen, Ransomware einsetzen, den Netzwerkverkehr ausspähen oder sich eine Ausgangsposition für ein weiteres Eindringen in das Netzwerk verschaffen könnten.

CensysDie Perspektive

Am 28. Mai 2024 beobachtete Censys 3.338 verschiedene Hosts die eine Telesquare TLR-2005Ksh Verwaltungsschnittstelle im öffentlichen Internet offenlegen. Zwar sind nicht alle diese Instanzen zwangsläufig verwundbar, aber jedes System, auf dem die Versionen 1.0.0 oder 1.1.4 laufen, ist wahrscheinlich einem hohen Risiko ausgesetzt, ausgenutzt zu werden.

Nach Angaben von Criminal IPkönnen Telesquare-Router, die für CVE-2024-29269 anfällig sind, anhand der Länge des Inhaltsheaders ihrer HTTP-Serverantwort identifiziert werden. Die Firmware-Versionen 1.0.0 und 1.1.4 haben Berichten zufolge einen eindeutigen Content-Length-Header von 5745 Byte. Censys beobachtet 69 verschiedene Hosts, die diesem Indikator entsprechen.

Obwohl die genaue Logik hinter dieser Verbindung nicht klar erklärt ist, könnte es ein potenzieller Indikator sein, den Sicherheitsforscher und Verteidiger nutzen könnten, um anfällige Geräte einzugrenzen. Es ist jedoch wichtig zu beachten, dass eine weitere Überprüfung der Firmware-Version erforderlich wäre, um die Ausnutzbarkeit zu bestätigen.

Die Gefährdungen konzentrieren sich ausschließlich auf Südkorea. Das führende autonome System mit den meisten gefährdeten Instanzen ist SKTELECOM-NET-AS (AS9644), das zu SK Telecom, einem südkoreanischen Telekommunikationsriesen, gehört.

Empfehlungen für Abhilfemaßnahmen

Bis zum Erscheinen eines offiziellen Patches wird empfohlen, den Zugriff auf die Telesquare TLR-2005Ksh Verwaltungsschnittstelle so einzuschränken, dass nur einige wenige vertrauenswürdige Benutzer (z.B. Netzwerkadministratoren) oder über ein VPN darauf zugreifen können.

Referenzen:

• NVD Eintrag: https://nvd.nist.gov/vuln/detail/CVE-2024-22269
• PoCs: 
  • https://github.com/wutalent/CVE-2024-29269/blob/main/index.md
  • https://github.com/Chocapikk/CVE-2024-29269
  • https://gist.github.com/win3zz/c26047ae4b182c3619509d537b808d2b
• https://pentest-tools.com/vulnerabilities-exploits/telesquare-tlr-2005ksh-remote-command-execution_22609