SicherheitsanfÀlligkeiten im Realtek SDK haben Probleme bei GerÀten von 65 Herstellern verursacht

In den Komponenten des Realtek SDK, das von verschiedenen Herstellern drahtloser GerĂ€te in ihren Firmware-Versionen verwendet wird, wurden vier Schwachstellen entdeckt, die es einem nicht authentifizierten Angreifer ermöglichen, aus der Ferne Code mit erhöhten Rechten auf dem GerĂ€t auszufĂŒhren. VorlĂ€ufigen SchĂ€tzungen zufolge sind mindestens 200 Modelle von 65 verschiedenen Anbietern betroffen, darunter verschiedene Modelle von drahtlosen Routern von Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT-Link, Netgear, Realtek, Smartlink, UPVEL, ZTE und Zyxel.

Das Problem betrifft verschiedene Klassen von drahtlosen GerĂ€ten auf Basis von SoC RTL8xxx, von drahtlosen Routern und Wi-Fi-Entstörern bis hin zu IP-Kameras und intelligenten GerĂ€ten zur Steuerung der Beleuchtung. In GerĂ€ten, die auf RTL8xxx-Chips basieren, wird eine Architektur verwendet, die die Installation von zwei SoCs vorsieht – auf dem ersten wird die Hersteller-Firmware auf Basis von Linux installiert, wĂ€hrend auf dem zweiten eine separate, reduzierte Linux-Umgebung mit der Implementierung von Zugangspunkt-Funktionen lĂ€uft. Die Ausstattung der zweiten Umgebung basiert auf typischen Komponenten, die von Realtek im SDK bereitgestellt werden. Diese Komponenten verarbeiten unter anderem die Daten, die durch das Senden externer Anfragen entstehen.

Die SicherheitsanfĂ€lligkeiten betreffen Produkte, die Realtek SDK v2.x, Realtek „Jungle“ SDK v3.0-3.4 und Realtek „Luna“ SDK bis zur Version 1.3.2 verwenden. Ein Fix wurde bereits im Update Realtek „Luna“ SDK 1.3.2a veröffentlicht, und es werden Patches fĂŒr das Realtek „Jungle“ SDK vorbereitet. FĂŒr das Realtek SDK 2.x sind keine Fixes geplant, da die Wartung dieses Zweigs bereits eingestellt wurde. FĂŒr alle SicherheitsanfĂ€lligkeiten wurden funktionierende Prototypen von Exploits bereitgestellt, die die AusfĂŒhrung eigenen Codes auf dem GerĂ€t ermöglichen.

Entdeckte SicherheitsanfÀlligkeiten (den ersten beiden wurde ein Gefahrenniveau von 8,1 zugewiesen, den anderen 9,8):

  • CVE-2021-35392 – PufferĂŒberlauf in den Prozessen mini_upnpd und wscd, welche die FunktionalitĂ€t „WiFi Simple Config“ implementieren (mini_upnpd ist zustĂ€ndig fĂŒr die Verarbeitung von SSDP-Paketen, wĂ€hrend wscd neben SSDP auch die Verarbeitung von UPnP-Anfragen basierend auf dem HTTP-Protokoll ĂŒbernimmt). Ein Angreifer kann die AusfĂŒhrung seines Codes erreichen, indem er speziell formatierte UPnP-Anfragen „SUBSCRIBE“ mit einem zu hohen Wert fĂŒr die Portnummer im Feld „Callback“ sendet. SUBSCRIBE /upnp/event/WFAWLANConfig1 HTTP/1.1 Host: 192.168.100.254:52881 Callback: NT: upnp:event
  • CVE-2021-35393 – SicherheitsanfĂ€lligkeit in den Handlern „WiFi Simple Config“, die beim Einsatz des SSDP-Protokolls auftritt (nutzt UDP und ein an HTTP Ă€hnliches Anfrageformat). Das Problem resultiert aus der Verwendung eines festen Puffers von 512 Bytes bei der Verarbeitung des Parameters „ST:upnp“ in den M-SEARCH-Nachrichten, die von Clients gesendet werden, um die VerfĂŒgbarkeit von Diensten im Netzwerk zu bestimmen.
  • CVE-2021-35394 — Schwachstelle im MP Daemon, der fĂŒr die DurchfĂŒhrung von Diagnosesystemen (Ping, Traceroute) verantwortlich ist. Das Problem ermöglicht es, eigene Befehle einzuschleusen, da bei der AusfĂŒhrung externer Tools die Argumente unzureichend geprĂŒft werden.
  • CVE-2021-35395 — Eine Reihe von Schwachstellen in den WeboberflĂ€chen basierend auf den HTTP-Servern /bin/webs und /bin/boa. In beiden Servern Typische Schwachstellen wurden festgestellt, die durch die fehlende ÜberprĂŒfung von Argumenten vor der AusfĂŒhrung externer Dienstprogramme mit der Funktion system() verursacht werden. Die Unterschiede beziehen sich nur auf die Verwendung verschiedener APIs fĂŒr den Angriff. Beide Handler hatten keinen Schutz gegen CSRF-Angriffe und Techniken wie "DNS Rebinding", die es ermöglichen, Anfragen aus einem externen Netzwerk zu senden, wĂ€hrend der Zugriff auf die Schnittstelle nur fĂŒr das interne Netzwerk eingeschrĂ€nkt war. In den Prozessen wurde außerdem standardmĂ€ĂŸig das vordefinierte Konto supervisor/supervisor verwendet. DarĂŒber hinaus wurden bei den Handlern mehrere StackĂŒberlĂ€ufe festgestellt, die auftreten, wenn Argumente mit zu großer GrĂ¶ĂŸe gesendet werden. POST /goform/formWsc HTTP/1.1 Host: 192.168.100.254 Content-Length: 129 Content-Type: application/x-www-form-urlencoded submit-url=wlwps.asp&resetUnCfg=0&peerPin=12345678;ifconfig>/tmp/1;&setPIN=Start+PIN&configVxd=off&resetRptUnCfg=0&peerRptPin=
  • Es wurde festgestellt, dass im UDPServer mehrere weitere SicherheitsanfĂ€lligkeiten bestehen. Eine der Probleme wurde bereits 2015 von anderen Forschern entdeckt, jedoch nicht vollstĂ€ndig behoben. Das Problem resultiert aus unzureichender Validierung der Argumente, die an die Funktion system() ĂŒbergeben werden, und kann durch das Senden einer Zeichenkette wie 'orf;ls' an den Netzwerkport 9034 ausgenutzt werden. DarĂŒber hinaus wurde im UDPServer ein PufferĂŒberlauf aufgrund der unsicheren Verwendung der Funktion sprintf entdeckt, der ebenfalls potenziell fĂŒr Angriffe genutzt werden kann.

Quelle: opennet.ru

Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server đŸ”„ Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster