Уязвимости в Realtek SDK доведоха до проблеми в устройства от 65 производителя

Бяха идентифицирани четири уязвимости в компонентите на Realtek SDK, който се използва от различни производители на безжични устройства в техния фърмуер, които биха могли да позволят на неавтентифициран нападател да изпълни дистанционно код на устройство с повишени привилегии. По предварителни оценки проблемите засягат най-малко 200 модела устройства от 65 различни доставчици, включително различни модели безжични рутери Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT- Link, Netgear, Realtek, Smartlink, UPVEL, ZTE и Zyxel.

Проблемът обхваща различни класове безжични устройства, базирани на RTL8xxx SoC, от безжични рутери и Wi-Fi усилватели до IP камери и интелигентни устройства за управление на осветлението. Устройствата, базирани на RTL8xxx чипове, използват архитектура, която включва инсталирането на два SoC - първият инсталира базирания на Linux фърмуер на производителя, а вторият изпълнява отделна съкратена Linux среда с внедряване на функции на точка за достъп. Пълненето на втората среда се основава на стандартни компоненти, предоставени от Realtek в SDK. Тези компоненти също обработват данни, получени в резултат на изпращане на външни заявки.

Уязвимостите засягат продукти, които използват Realtek SDK v2.x, Realtek “Jungle” SDK v3.0-3.4 и Realtek “Luna” SDK преди версия 1.3.2. Корекцията вече е пусната в актуализацията на Realtek "Luna" SDK 1.3.2a, а корекциите за Realtek "Jungle" SDK също се подготвят за публикуване. Няма планове за пускане на корекции за Realtek SDK 2.x, тъй като поддръжката за този клон вече е преустановена. За всички уязвимости се предоставят работещи прототипи на експлойт, които ви позволяват да изпълните своя код на устройството.

Идентифицирани уязвимости (на първите две е присвоено ниво на сериозност 8.1, а на останалите - 9.8):

• CVE-2021-35392 - Препълване на буфера в процесите mini_upnpd и wscd, които изпълняват функционалността „WiFi Simple Config“ (mini_upnpd обработва SSDP пакети, а wscd, в допълнение към поддръжката на SSDP, обработва UPnP заявки въз основа на HTTP протокола). Нападателят може да постигне изпълнение на своя код, като изпрати специално създадени UPnP заявки „АБОНИРАНЕ“ с твърде голям номер на порт в полето „Обратно повикване“. АБОНИРАЙТЕ се /upnp/event/WFAWLANConfig1 HTTP/1.1 Хост: 192.168.100.254:52881 Обратно извикване: NT:upnp:събитие
• CVE-2021-35393 е уязвимост в манипулаторите на WiFi Simple Config, която възниква при използване на SSDP протокол (използва UDP и формат на заявка, подобен на HTTP). Проблемът е причинен от използването на фиксиран буфер от 512 байта при обработка на параметъра "ST:upnp" в M-SEARCH съобщения, изпратени от клиенти, за да се определи наличието на услуги в мрежата.
• CVE-2021-35394 е уязвимост в процеса MP Daemon, който отговаря за извършването на диагностични операции (ping, traceroute). Проблемът позволява подмяна на собствени команди поради недостатъчна проверка на аргументите при изпълнение на външни помощни програми.
• CVE-2021-35395 е поредица от уязвимости в уеб интерфейси, базирани на http сървърите /bin/webs и /bin/boa. И в двата сървъра бяха идентифицирани типични уязвимости, причинени от липсата на аргументи за проверка преди стартиране на външни помощни програми с помощта на функцията system(). Разликите се свеждат само до използването на различни API за атаки. И двата манипулатора не включват защита срещу CSRF атаки и техниката „DNS rebinding“, която позволява изпращане на заявки от външна мрежа, като същевременно ограничава достъпа до интерфейса само до вътрешната мрежа. Процесите също по подразбиране към предварително дефинирания надзорен/надзорен акаунт. Освен това в манипулаторите са идентифицирани няколко препълвания на стека, които възникват, когато се изпращат твърде големи аргументи. POST /goform/formWsc HTTP/1.1 Host: 192.168.100.254 Content-Length: 129 Content-Type: application/x-www-form-urlencoded submit-url=%2Fwlwps.asp&resetUnCfg=0&peerPin=12345678;ifconfig>/tmp/1 ;&setPIN=Старт+ПИН&configVxd=изкл.&resetRptUnCfg=0&peerRptPin=
• Освен това в процеса на UDPServer бяха идентифицирани още няколко уязвимости. Както се оказа, един от проблемите вече беше открит от други изследователи през 2015 г., но не беше напълно коригиран. Проблемът е причинен от липса на правилно валидиране на аргументите, предадени на функцията system() и може да бъде използван чрез изпращане на низ като 'orf;ls' до мрежов порт 9034. Освен това е установено препълване на буфера в UDPServer поради несигурно използване на функцията sprintf, която също потенциално може да се използва за извършване на атаки.

Източник: opennet.ru