Fire sårbarheder er blevet identificeret i komponenter af Realtek SDK, som bruges af forskellige producenter af trådløse enheder i deres firmware, som kan gøre det muligt for en uautoriseret angriber at eksternt udføre kode på en enhed med forhøjede rettigheder. Ifølge foreløbige skøn påvirker problemerne mindst 200 enhedsmodeller fra 65 forskellige leverandører, herunder forskellige modeller af trådløse routere Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT- Link, Netgear, Realtek, Smartlink, UPVEL, ZTE og Zyxel.
Problemet dækker forskellige klasser af trådløse enheder baseret på RTL8xxx SoC, fra trådløse routere og Wi-Fi-forstærkere til IP-kameraer og smarte lysstyringsenheder. Enheder baseret på RTL8xxx-chips bruger en arkitektur, der involverer installationen af to SoC'er - den første installerer producentens Linux-baserede firmware, og den anden kører et separat afisoleret Linux-miljø med implementering af adgangspunktfunktioner. Fyldningen af det andet miljø er baseret på standardkomponenter leveret af Realtek i SDK. Disse komponenter behandler også data modtaget som følge af afsendelse af eksterne anmodninger.
Sårbarhederne påvirker produkter, der bruger Realtek SDK v2.x, Realtek “Jungle” SDK v3.0-3.4 og Realtek “Luna” SDK før version 1.3.2. Rettelsen er allerede blevet frigivet i Realtek "Luna" SDK 1.3.2a-opdateringen, og patches til Realtek "Jungle" SDK er også ved at blive klargjort til udgivelse. Der er ingen planer om at frigive nogen rettelser til Realtek SDK 2.x, da support til denne filial allerede er afbrudt. For alle sårbarheder leveres der fungerende udnyttelsesprototyper, der giver dig mulighed for at udføre din kode på enheden.
Identificerede sårbarheder (de to første er tildelt et alvorlighedsniveau på 8.1, og resten - 9.8):
- CVE-2021-35392 - Bufferoverløb i mini_upnpd- og wscd-processerne, der implementerer "WiFi Simple Config"-funktionaliteten (mini_upnpd behandler SSDP-pakker, og wscd, udover at understøtte SSDP, behandler UPnP-anmodninger baseret på HTTP-protokollen). En angriber kan opnå eksekvering af deres kode ved at sende specielt udformede UPnP "SUBSCRIBE"-anmodninger med et for stort portnummer i "Callback"-feltet. ABONNER /upnp/event/WFAWLANConfig1 HTTP/1.1 Host: 192.168.100.254:52881 Tilbagekald: NT:upnp:begivenhed
- CVE-2021-35393 er en sårbarhed i WiFi Simple Config-handlere, der opstår ved brug af SSDP-protokollen (bruger UDP og et anmodningsformat svarende til HTTP). Problemet er forårsaget af brugen af en fast buffer på 512 bytes ved behandling af parameteren "ST:upnp" i M-SEARCH-meddelelser sendt af klienter for at bestemme tilstedeværelsen af tjenester på netværket.
- CVE-2021-35394 er en sårbarhed i MP Daemon-processen, som er ansvarlig for at udføre diagnostiske operationer (ping, traceroute). Problemet tillader substitution af ens egne kommandoer på grund af utilstrækkelig kontrol af argumenter, når eksterne hjælpeprogrammer udføres.
- CVE-2021-35395 er en række sårbarheder i webgrænseflader baseret på http-serverne /bin/webs og /bin/boa. Typiske sårbarheder forårsaget af manglen på kontrolargumenter før lancering af eksterne hjælpeprogrammer ved hjælp af system()-funktionen blev identificeret på begge servere. Forskellene kommer kun til brug af forskellige API'er til angreb. Begge behandlere inkluderede ikke beskyttelse mod CSRF-angreb og "DNS rebinding"-teknikken, som gør det muligt at sende anmodninger fra et eksternt netværk, mens adgangen til grænsefladen kun begrænses til det interne netværk. Processer er også standard til den foruddefinerede supervisor/supervisor-konto. Derudover er der identificeret flere stak-overløb i handlerne, som opstår, når argumenter, der er for store, sendes. POST /goform/formWsc HTTP/1.1 Host: 192.168.100.254 Content-Length: 129 Content-Type: application/x-www-form-urlencoded submit-url=%2Fwlwps.asp&resetUnCfg=0&peerPin=12345678/1/tmpconfig=0 ;&setPIN=Start+PIN&configVxd=fra&resetRptUnCfg=XNUMX&peerRptPin=
- Derudover er flere sårbarheder blevet identificeret i UDPServer-processen. Som det viste sig, var et af problemerne allerede blevet opdaget af andre forskere tilbage i 2015, men blev ikke rettet fuldstændigt. Problemet er forårsaget af manglende korrekt validering af de argumenter, der sendes til system()-funktionen og kan udnyttes ved at sende en streng som 'orf;ls' til netværksport 9034. Derudover er der identificeret et bufferoverløb i UDPServer på grund af usikker brug af sprintf-funktionen, som også potentielt kan bruges til at udføre angreb.
Kilde: opennet.ru