Kwesbaarheid in toestelle gebaseer op Realtek SoC wat die uitvoering van kode moontlik maak deur 'n UDP-pakkie te stuur

Navorsers van Faraday Security het by die DEFCON-konferensie besonderhede oor die uitbuiting van 'n kritieke kwesbaarheid (CVE-2022-27255) in die SDK vir Realtek RTL819x-skyfies aangebied, wat jou toelaat om jou kode op die toestel uit te voer deur 'n spesiaal ontwerpte UDP-pakkie te stuur. Die kwesbaarheid is opvallend omdat dit jou toelaat om toestelle aan te val wat toegang tot die webkoppelvlak vir eksterne netwerke gedeaktiveer het – om net een UDP-pakkie te stuur is genoeg om aan te val.

Die kwesbaarheid raak toestelle wat kwesbare weergawes van die Realtek SDK gebruik, insluitend eCos RSDK 1.5.7p1 en MSDK 4.9.4p1. eCos SDK-opdaterings wat die kwesbaarheid regstel, is op 25 Maart deur Realtek gepubliseer. Dit is nog nie duidelik watter toestelle deur die probleem geraak word nie - die Realtek RTL819x SoC word gebruik in netwerkrouters, toegangspunte, Wi-Fi-versterkers, IP-kameras, Internet of Things-toestelle en ander netwerktoestelle van meer as 60 vervaardigers, insluitend Asus , A-Link, Beeline, Belkin , Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT-Link, Netgear, Smartlink, UPVEL, ZTE en Zyxel.

Voorbeelde van misbruik om afstandtoegang tot 'n toestel te verkry en opdragte uit te voer deur die voorbeeld van 'n aanval op die Nexxt Nebula 300 Plus-roeteerder te gebruik, is reeds in die publieke domein gepubliseer. Boonop is nutsprogramme vir die ontleding van firmware vir kwesbaarhede gepubliseer.

Gegewe die probleme met voorbereiding en aflewering en fermware-opdaterings vir reeds vrygestelde toestelle, word verwag dat outomatiese aanvalle en wurms binnekort sal verskyn wat kwesbare netwerktoestelle raak. Na 'n suksesvolle aanval kan die geaffekteerde toestelle deur aanvallers gebruik word, byvoorbeeld om botnets te vorm, agterdeure in te stel om 'n agterdeur in die interne netwerk van 'n onderneming te verlaat, transitoverkeer te onderskep of dit na 'n eksterne gasheer te herlei.

Die kwesbaarheid word veroorsaak deur 'n bufferoorloop in die SIP ALG (SIP Application Layer Gateway)-module, wat gebruik word om die aanstuur van SIP-pakkies agter die adresvertaler te organiseer. Die probleem word veroorsaak deur 'n gebrek aan kontrolering van die werklike grootte van die ontvangde data, wat lei tot die oorskryf van geheue buite die vaste buffer wanneer strcpy geroep word terwyl SIP-pakkies verwerk word. Die aanval kan uitgevoer word deur 'n UDP-pakkie met verkeerde veldwaardes in die SDP-datablok of SIP-protokolkop te stuur. Om te werk, is dit genoeg om een ​​pakkie na 'n arbitrΓͺre UDP-poort van die WAN-koppelvlak te stuur.

As 'n oplossing vir beskerming, word dit aanbeveel om UDP-pakkies te blokkeer met die SIP-boodskap "INVITE", die string "m=klank" en 'n grootte groter as 128 grepe op 'n brandmuur of in 'n netwerk inbraak-voorkomingstelsel. 'n VoorbeeldreΓ«l vir die opsporing van uitbuitingspogings in IDS Snort 3: waarsku udp enige enige -> enige enige (sid:1000000; \ msg: "Realtek eCOS SDK SIP Traffic Exploit CVE-2022-27255"; \ inhoud: "nooi"; diepte : 6; nocase; \ inhoud: "m=klank "; \ isdataat: 128,relatief; inhoud:!"|0d|"; binne: 128;)

Bron: opennet.ru

Koop betroubare hosting vir werwe met DDoS-beskerming, VPS VDS-bedieners πŸ”₯ Koop betroubare webwerfhosting met DDoS-beskerming, VPS VDS-bedieners | ProHoster