28 de mayo de 2024: RCE no autenticado en routers Telesquare de Corea del Sur [CVE-2024-29269].

Resumen ejecutivo:

• En 2 de abril de 2024, a PdC para una vulnerabilidad crítica de ejecución remota de código sin autenticación (rastreada como CVE-2024-29269) en los routers Telesquare TLR-2005Ksh de Corea del Sur. Están afectadas las versiones 1.0.0 y 1.1.4. En el momento de escribir estas líneas, esta CVE está pendiente de análisis y aún no tiene puntuación CVSS.

• Productos afectados: TLR-2005Ksh es un router LTE de Telesquare, empresa surcoreana de telecomunicaciones.

• Impacto: Un atacante no autenticado podría aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios del sistema, lo que podría comprometer por completo el dispositivo. Esto supone un grave riesgo para la red de una organización, ya que otras posibles acciones tras el compromiso podrían incluir filtraciones de datos, despliegue de ransomware, reconocimiento de la red o movimiento lateral en la red.

• Estado de explotación: Aunque todavía no se ha informado de ninguna explotación activa, el código de prueba de concepto está disponible públicamente, lo que probablemente disminuye la barrera de entrada para los actores de amenazas.

• CensysPerspectiva: Desde el 28 de mayo de 2024, Censys ha identificado 3.338 hosts que exponen la interfaz de inicio de sesión TLR-2005Ksh de Telesquare - aunque no todos ellos son necesariamente vulnerables a CVE-2024-29269.
• Según un informe de Penal IPLos enrutadores vulnerables pueden ser identificados devolviendo una cabecera de longitud de contenido de 5745 bytes. Censys ha encontrado 69 routers que coincidan con esta descripción potencialmente vulnerable. Sin embargo, sin más pruebas que apoyen la validez de esta técnica de huella digital, se recomienda verificar la versión de su router localmente.

• Recomendaciones para la corrección: Telesquare aún no ha publicado un parche o una guía de solución para CVE-2024-29269. Se recomienda restringir inmediatamente el acceso a la interfaz de gestión de Telesquare TLR-2005Ksh desde la Internet pública.

• Detección:
  • Censys Consulta de búsqueda para encontrar instancias de Telesquare expuestas: services.software: (vendor: "Telesquare" and product: "TLR-2005KSH")
  • Censys Consulta ASM para clientes: host.services.software: (vendor: "Telesquare" and product: "TLR-2005KSH" ) or (web_entity.instances.software.vendor: "Telesquare" and web_entity.instances.software.product: "TLR-2005KSH")

Fondo

El 2 de abril de 2024, un PdC para CVE-2024-29269una vulnerabilidad de ejecución remota de código no autenticada que afecta a las versiones 1.0.0 y 1.1.4 de Telesquare TLR-2005Ksh. Esta vulnerabilidad tiene su origen en una validación de entrada incorrecta, lo que permite a los atacantes ejecutar comandos arbitrarios del sistema a través del comando Cmd sin autenticación. Telesquare TLR-2005Ksh es una línea de routers LTE fabricados por Telesquare, una empresa de telecomunicaciones surcoreana.

Consecuencias potenciales del éxito de la explotación:

La capacidad de ejecutar comandos arbitrarios sin autenticación supone un riesgo crítico para los sistemas afectados. Una explotación exitosa podría conducir a un compromiso completo del servidor, permitiendo a los actores de amenazas robar potencialmente datos sensibles, desplegar ransomware, realizar reconocimiento de tráfico de red, o ganar un punto de apoyo para una mayor intrusión en la red.

CensysPerspectiva

El 28 de mayo de 2024, Censys observó 3.338 hosts distintos que exponían una interfaz de gestión Telesquare TLR-2005Ksh en la Internet pública. Aunque no todas estas instancias son necesariamente vulnerables, es probable que cualquier sistema que ejecute las versiones 1.0.0 o 1.1.4 corra un alto riesgo de explotación.

Según IP Criminallos routers Telesquare vulnerables a CVE-2024-29269 pueden ser identificados basándose en la longitud de la cabecera de contenido de la respuesta del servidor HTTP. Según los informes, las versiones de firmware 1.0.0 y 1.1.4 tienen una cabecera de longitud de contenido única de 5745 bytes. Censys observa 69 hosts distintos que coinciden con este indicador.

Aunque no se explica con claridad la lógica exacta que subyace a esta conexión, podría ser un indicador potencial que los investigadores y defensores de la seguridad podrían aprovechar para reducir el número de dispositivos vulnerables. Sin embargo, es importante tener en cuenta que seguiría siendo necesaria una verificación adicional de la versión del firmware para confirmar la explotabilidad.

Las exposiciones se concentran únicamente en Corea del Sur. El sistema autónomo con más casos expuestos es SKTELECOM-NET-AS (AS9644), perteneciente a SK Telecom, un gigante surcoreano de las telecomunicaciones.

Recomendaciones para remediar la situación

Hasta que se publique un parche oficial, se recomienda restringir el acceso a la interfaz de gestión de Telesquare TLR-2005Ksh para permitir únicamente conexiones de unos pocos usuarios de confianza (como administradores de red) o a través de una VPN.

Referencias:

• Entrada NVD: https://nvd.nist.gov/vuln/detail/CVE-2024-22269
• PdC: 
  • https://github.com/wutalent/CVE-2024-29269/blob/main/index.md
  • https://github.com/Chocapikk/CVE-2024-29269
  • https://gist.github.com/win3zz/c26047ae4b182c3619509d537b808d2b
• https://pentest-tools.com/vulnerabilities-exploits/telesquare-tlr-2005ksh-remote-command-execution_22609