28 mai 2024 : RCE non authentifié dans les routeurs sud-coréens Telesquare [CVE-2024-29269].

Résumé :

• Sur 2 avril 2024, a PoC a été publiée pour une vulnérabilité critique d'exécution de code à distance sans authentification (repérée sous le nom de CVE-2024-29269) dans les routeurs sud-coréens Telesquare TLR-2005Ksh. Les versions 1.0.0 et 1.1.4 sont concernées. Au moment de la rédaction de ce document, cette CVE est toujours en attente d'analyse et n'a pas encore de score CVSS.

• Produits concernés : TLR-2005Ksh est un routeur LTE de Telesquare, une entreprise de télécommunications sud-coréenne.

• Impact : Un attaquant non authentifié pourrait tirer parti de cette vulnérabilité pour exécuter des commandes système arbitraires, ce qui pourrait compromettre complètement l'appareil. Cela représente un risque important pour le réseau d'une organisation, car d'autres actions possibles après la compromission pourraient potentiellement inclure des violations de données, le déploiement de ransomware, la reconnaissance du réseau ou des mouvements latéraux sur le réseau.

• Statut d'exploitation: Bien qu'aucune exploitation active n'ait été signalée jusqu'à présent, le code de validation du concept est disponible publiquement, ce qui devrait réduire la barrière à l'entrée pour les acteurs de la menace.

• CensysLe point de vue de la Commission: En date du 28 mai 2024, Censys a identifié 3 338 hôtes exposant l'interface de connexion Telesquare TLR-2005Ksh - bien que tous ne soient pas nécessairement vulnérables à CVE-2024-29269.
• Selon un rapport de Poursuites pénalesLes routeurs vulnérables peuvent être identifiés en renvoyant un en-tête de longueur de contenu de 5745 octets. Censys a trouvé 69 routeurs correspondant à cette description qui sont potentiellement vulnérable. Toutefois, en l'absence de preuves supplémentaires de la validité de cette technique d'empreinte, il est recommandé de vérifier localement la version de votre routeur.

• Recommandations pour la remédiation : Telesquare n'a pas encore publié de correctif ou de guide de remédiation pour CVE-2024-29269. Il est recommandé de restreindre immédiatement l'accès à l'interface de gestion Telesquare TLR-2005Ksh depuis l'Internet public.

• Détection :
  • Censys Requête de recherche pour trouver les instances Telesquare exposées : services.software : (vendor : "Telesquare" and product : "TLR-2005KSH")
  • Censys Requête ASM pour les clients : host.services.software : (vendor : "Telesquare" and product : "TLR-2005KSH" ) or (web_entity.instances.software.vendor : "Telesquare" and web_entity.instances.software.product : "TLR-2005KSH")

Contexte

Le 2 avril 2024, un PoC a été publié pour le CVE-2024-29269une vulnérabilité d'exécution de code à distance non authentifiée affectant Telesquare TLR-2005Ksh versions 1.0.0 et 1.1.4. Cette vulnérabilité provient d'une mauvaise validation des entrées, permettant aux attaquants d'exécuter des commandes système arbitraires via la commande Cmd sans aucune authentification. Telesquare TLR-2005Ksh est une gamme de routeurs LTE fabriqués par Telesquare, une entreprise de télécommunications sud-coréenne.

Conséquences potentielles d'une exploitation réussie :

La possibilité d'exécuter des commandes arbitraires sans authentification représente un risque critique pour les systèmes concernés. Une exploitation réussie peut conduire à une compromission complète du serveur, permettant aux acteurs de la menace de voler des données sensibles, de déployer des ransomwares, d'effectuer une reconnaissance du trafic réseau, ou de prendre pied pour une intrusion plus poussée dans le réseau.

CensysLe point de vue de la Commission

Le 28 mai 2024, Censys a observé 3 338 hôtes distincts exposant une interface de gestion Telesquare TLR-2005Ksh sur l'internet public. Bien que toutes ces instances ne soient pas nécessairement vulnérables, tout système utilisant les versions 1.0.0 ou 1.1.4 présente un risque élevé d'exploitation.

D'après Criminal IPles routeurs Telesquare vulnérables à CVE-2024-29269 peuvent être identifiés en fonction de la longueur de l'en-tête de contenu de la réponse du serveur HTTP. Les versions 1.0.0 et 1.1.4 du micrologiciel auraient une longueur d'en-tête de contenu unique de 5745 octets. Censys observe 69 hôtes distincts correspondant à cet indicateur.

Bien que la logique exacte de cette connexion ne soit pas clairement expliquée, il pourrait s'agir d'un indicateur potentiel que les chercheurs et les défenseurs de la sécurité pourraient utiliser pour identifier les appareils vulnérables. Toutefois, il est important de noter qu'une vérification plus poussée de la version du micrologiciel serait encore nécessaire pour confirmer l'exploitabilité.

Les expositions sont concentrées uniquement en Corée du Sud. Le système autonome le plus exposé est SKTELECOM-NET-AS (AS9644), qui appartient à SK Telecom, un géant sud-coréen des télécommunications.

Recommandations pour la remédiation

Jusqu'à ce qu'un correctif officiel soit publié, il est recommandé de restreindre l'accès à l'interface de gestion du TLR-2005Ksh de Telesquare pour n'autoriser que les connexions de quelques utilisateurs de confiance (tels que les administrateurs de réseau) ou par l'intermédiaire d'un VPN.

Références :

• Entrée NVD : https://nvd.nist.gov/vuln/detail/CVE-2024-22269
• PoCs : 
  • https://github.com/wutalent/CVE-2024-29269/blob/main/index.md
  • https://github.com/Chocapikk/CVE-2024-29269
  • https://gist.github.com/win3zz/c26047ae4b182c3619509d537b808d2b
• https://pentest-tools.com/vulnerabilities-exploits/telesquare-tlr-2005ksh-remote-command-execution_22609