Identificirane su četiri ranjivosti u komponentama Realtek SDK-a, koji koriste različiti proizvođači bežičnih uređaja u svom firmveru, a koje bi mogle omogućiti neovlaštenom napadaču da daljinski izvrši kod na uređaju s povišenim privilegijama. Prema preliminarnim procjenama, problemi pogađaju najmanje 200 modela uređaja od 65 različitih dobavljača, uključujući različite modele bežičnih rutera Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT- Link, Netgear, Realtek, Smartlink, UPVEL, ZTE i Zyxel.
Problem pokriva različite klase bežičnih uređaja baziranih na RTL8xxx SoC-u, od bežičnih rutera i Wi-Fi pojačala do IP kamera i pametnih uređaja za kontrolu rasvjete. Uređaji bazirani na RTL8xxx čipovima koriste arhitekturu koja uključuje instalaciju dva SoC-a - prvi instalira proizvođačev firmver baziran na Linuxu, a drugi pokreće zasebno smanjeno Linux okruženje sa implementacijom funkcija pristupne tačke. Popunjavanje drugog okruženja je bazirano na standardnim komponentama koje Realtek obezbeđuje u SDK. Ove komponente također obrađuju podatke primljene kao rezultat slanja vanjskih zahtjeva.
Ranjivosti utiču na proizvode koji koriste Realtek SDK v2.x, Realtek “Jungle” SDK v3.0-3.4 i Realtek “Luna” SDK prije verzije 1.3.2. Ispravka je već objavljena u ažuriranju Realtek "Luna" SDK 1.3.2a, a zakrpe za Realtek "Jungle" SDK su takođe u pripremi za objavljivanje. Nema planova za izdavanje bilo kakvih popravki za Realtek SDK 2.x, pošto je podrška za ovu granu već ukinuta. Za sve ranjivosti obezbeđeni su radni prototipovi eksploatacije koji vam omogućavaju da izvršite svoj kod na uređaju.
Identifikovane ranjivosti (prve dvije imaju dodijeljen nivo ozbiljnosti 8.1, a ostale - 9.8):
- CVE-2021-35392 - Prelivanje bafera u procesima mini_upnpd i wscd koji implementiraju funkcionalnost „WiFi Simple Config“ (mini_upnpd obrađuje SSDP pakete, a wscd, osim što podržava SSDP, obrađuje UPnP zahtjeve na osnovu HTTP protokola). Napadač može da postigne izvršenje svog koda slanjem posebno kreiranih UPnP „SUBSCRIBE“ zahteva sa prevelikim brojem porta u polju „Povratni poziv“. SUBSCRIBE /upnp/event/WFAWLANConfig1 HTTP/1.1 Host: 192.168.100.254:52881 Povratni poziv: NT:upnp:događaj
- CVE-2021-35393 je ranjivost u rukovaocima WiFi Simple Config koja se javlja kada se koristi SSDP protokol (koristi UDP i format zahtjeva sličan HTTP). Problem je uzrokovan upotrebom fiksnog bafera od 512 bajtova prilikom obrade parametra "ST:upnp" u M-SEARCH porukama koje šalju klijenti kako bi se utvrdilo prisustvo usluga na mreži.
- CVE-2021-35394 je ranjivost u MP Daemon procesu, koji je odgovoran za izvođenje dijagnostičkih operacija (ping, traceroute). Problem dozvoljava zamjenu vlastitih naredbi zbog nedovoljne provjere argumenata pri izvršavanju eksternih uslužnih programa.
- CVE-2021-35395 je niz ranjivosti u web interfejsima zasnovanim na http serverima /bin/webs i /bin/boa. Tipične ranjivosti uzrokovane nedostatkom argumenata za provjeru prije pokretanja eksternih uslužnih programa pomoću funkcije system() identifikovane su na oba servera. Razlike se svode samo na korištenje različitih API-ja za napade. Oba rukovaoca nisu uključila zaštitu od CSRF napada i tehniku „DNS ponovnog povezivanja“, koja omogućava slanje zahteva sa eksterne mreže uz ograničavanje pristupa interfejsu samo na internu mrežu. Procesi su takođe podrazumevani prema unapred definisanom nalogu supervizora/supervizora. Pored toga, nekoliko prelivanja steka je identifikovano u rukovaocima, do kojih dolazi kada se šalju preveliki argumenti. POST /goform/formWsc HTTP/1.1 Host: 192.168.100.254 Content-Length: 129 Content-Type: application/x-www-form-urlencoded submit-url=%2Fwlwps.asp&resetUnCfg=0&peerPin12345678/1> ;&setPIN=Start+PIN&configVxd=isključeno&resetRptUnCfg=0&peerRptPin=
- Pored toga, identifikovano je još nekoliko ranjivosti u procesu UDPServer. Kako se ispostavilo, jedan od problema su drugi istraživači već otkrili još 2015. godine, ali nije u potpunosti otklonjen. Problem je uzrokovan nedostatkom odgovarajuće validacije argumenata proslijeđenih funkciji system() i može se iskoristiti slanjem niza poput 'orf;ls' na mrežni port 9034. Dodatno, u UDPServeru je identifikovan prelivanje bafera zbog nesigurne upotrebe sprintf funkcije, koja se također potencijalno može koristiti za izvođenje napada.
izvor: opennet.ru