漏洞更新：华硕 RT-AX56U V2 & RT-AC86U 代码执行漏洞(CVE-2023-35086)

简要说明：

分别低于或等于版本3.0.0.4.386_50460和3.0.0.4_386_51529的华硕RT-AX56U V2和RT-AC86U路由器固件在httpd服务的detwan.cgi函数中存在格式字符串漏洞，当攻击者构建恶意数据时，可导致代码执行。该漏洞还影响使用 httpd 服务的其他华硕设备。

• “引用”标头的值应包含目标的地址

virtualenv --python=python3 .venvsource .venv/bin/activatepip install hexdump
python poc_crash.py --HOST 127.0.0.1 --PORT 12234 --test# output expected: [+] Target supports detwan.cgi

python poc_crash.py --HOST 127.0.0.1 --PORT 12234 --dos

详情:

该漏洞是通过对 URI 执行 GET 或 POST 触发 /detwan.cgi 并给出一个特殊格式的字符串作为参数 action_mode HTTP 参数。

通过在 ghidra 中打开 httpd 二进制文件，我们可以看到地址引用的字符串“do_detwan_cgi” 0x492c4

反编译器在不显示所有内容的情况下分解了函数，但有趣的点已经存在：

• FUN_0001b70c 提取参数 action_mode
• logmessage_normal 是 libshared 公开的外部函数

logmessage_normal的源代码可以在asusrt-merlin固件中找到，特别是在文件asusrt-merlin/release/src/router/shared/misc.c中，可以注意到，它将action_mode的内容保存在本地变量buf中，而本地变量buf又用于syslog调用。

libc系统日志支持格式化字符串，因此以下是漏洞的根源。

下载地址：https://github.com/tin-z/CVE-2023-35086-POC

原文始发于微信公众号（网络安全交流圈）：漏洞更新：华硕 RT-AX56U V2 & RT-AC86U 代码执行漏洞(CVE-2023-35086)