S'han identificat quatre vulnerabilitats en components de l'SDK Realtek, que utilitzen diversos fabricants de dispositius sense fil al seu microprogramari, que podrien permetre a un atacant no autenticat executar codi de manera remota en un dispositiu amb privilegis elevats. Segons estimacions preliminars, els problemes afecten almenys 200 models de dispositius de 65 proveïdors diferents, inclosos diversos models d'encaminadors sense fil Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT- Link, Netgear, Realtek, Smartlink, UPVEL, ZTE i Zyxel.
El problema cobreix diverses classes de dispositius sense fil basats en el SoC RTL8xxx, des d'encaminadors sense fil i amplificadors Wi-Fi fins a càmeres IP i dispositius de control d'il·luminació intel·ligent. Els dispositius basats en xips RTL8xxx utilitzen una arquitectura que implica la instal·lació de dos SoC: el primer instal·la el microprogramari basat en Linux del fabricant i el segon executa un entorn Linux separat amb la implementació de funcions de punt d'accés. L'ompliment del segon entorn es basa en components estàndard proporcionats per Realtek a l'SDK. Aquests components també processen les dades rebudes com a resultat de l'enviament de sol·licituds externes.
Les vulnerabilitats afecten els productes que utilitzen Realtek SDK v2.x, Realtek "Jungle" SDK v3.0-3.4 i Realtek "Luna" SDK abans de la versió 1.3.2. La correcció ja s'ha publicat a l'actualització de Realtek "Luna" SDK 1.3.2a, i també s'estan preparant pedaços per a l'SDK de Realtek "Jungle" per a la seva publicació. No hi ha plans per llançar cap correcció per a Realtek SDK 2.x, ja que el suport per a aquesta branca ja s'ha interromput. Per a totes les vulnerabilitats, es proporcionen prototips d'explotació que us permeten executar el vostre codi al dispositiu.
Vulnerabilitats identificades (a les dues primeres se'ls assigna un nivell de gravetat de 8.1 i la resta - 9.8):
- CVE-2021-35392 - Desbordament de memòria intermèdia en els processos mini_upnpd i wscd que implementen la funcionalitat "WiFi Simple Config" (mini_upnpd processa paquets SSDP i wscd, a més de suportar SSDP, processa peticions UPnP basades en el protocol HTTP). Un atacant pot aconseguir l'execució del seu codi enviant sol·licituds de "SUBSCRIPCIÓ" UPnP especialment dissenyades amb un número de port massa gran al camp "Devolució de trucada". SUBSCRIU-TE /upnp/event/WFAWLANConfig1 Amfitrió HTTP/1.1: 192.168.100.254:52881 Devolució de trucada: NT:upnp:esdeveniment
- CVE-2021-35393 és una vulnerabilitat en els controladors WiFi Simple Config que es produeix quan s'utilitza el protocol SSDP (utilitza UDP i un format de sol·licitud similar a HTTP). El problema és causat per l'ús d'un buffer fix de 512 bytes quan es processa el paràmetre "ST:upnp" als missatges M-SEARCH enviats pels clients per determinar la presència de serveis a la xarxa.
- CVE-2021-35394 és una vulnerabilitat del procés MP Daemon, que s'encarrega de realitzar operacions de diagnòstic (ping, traceroute). El problema permet substituir les ordres pròpies a causa d'una comprovació insuficient dels arguments en executar utilitats externes.
- CVE-2021-35395 és una sèrie de vulnerabilitats en interfícies web basades en els servidors http /bin/webs i /bin/boa. En ambdós servidors s'han identificat vulnerabilitats típiques causades per la manca d'arguments de comprovació abans de llançar utilitats externes mitjançant la funció system(). Les diferències només es redueixen a l'ús de diferents API per als atacs. Ambdós gestors no incloïen protecció contra atacs CSRF i la tècnica de "revinculació DNS", que permet enviar sol·licituds des d'una xarxa externa alhora que restringeix l'accés a la interfície només a la xarxa interna. Els processos també s'han predeterminat al compte de supervisor/supervisor predefinit. A més, s'han identificat diversos desbordaments de pila als controladors, que es produeixen quan s'envien arguments massa grans. POST /goform/formWsc HTTP/1.1 Amfitrió: 192.168.100.254 Longitud de contingut: 129 Tipus de contingut: application/x-www-form-urlencoded submit-url=%2Fwlwps.asp&resetUnCfg=0&peerPin=12345678>1;ifconfig0/XNUMX; ;&setPIN=Inici+PIN&configVxd=desactivat&resetRptUnCfg=XNUMX&peerRptPin=
- A més, s'han identificat diverses vulnerabilitats més en el procés UDPServer. Com va resultar, un dels problemes ja havia estat descobert per altres investigadors el 2015, però no es va corregir completament. El problema és causat per una falta de validació adequada dels arguments passats a la funció system() i es pot aprofitar enviant una cadena com 'orf;ls' al port de xarxa 9034. A més, s'ha identificat un desbordament de memòria intermèdia a UDPServer a causa de l'ús insegur de la funció sprintf, que també es pot utilitzar per dur a terme atacs.
Font: opennet.ru