Eine Schwachstelle in GerĂ€ten auf Basis von SoC Realtek, die es ermöglicht, Code durch das Senden eines UDP-Pakets auszufĂŒhren.

Forscher von Faraday Security haben auf der DEFCON-Konferenz Details zur Ausnutzung einer kritischen Schwachstelle (CVE-2022-27255) im SDK fĂŒr Realtek RTL819x-Chips vorgestellt. Diese Schwachstelle ermöglicht es, durch das Senden eines speziell formatierten UDP-Pakets eigenen Code auf dem GerĂ€t auszufĂŒhren. Die Schwachstelle ist bemerkenswert, da sie GerĂ€te angreift, bei denen der Zugriff auf die WeboberflĂ€che fĂŒr externe Netzwerke deaktiviert ist — es genĂŒgt, ein einziges UDP-Paket zu senden.

Die Schwachstelle betrifft GerĂ€te, die verwundbare Versionen des Realtek SDK verwenden, einschließlich eCos RSDK 1.5.7p1 und MSDK 4.9.4p1. Sicherheitsupdates fĂŒr das eCos SDK wurden am 25. MĂ€rz von Realtek veröffentlicht. Derzeit ist unklar, welche spezifischen GerĂ€te von dem Problem betroffen sind — SoCs von Realtek RTL819x werden in Netzwerkroutern, Zugriffspunkten, WLAN-VerstĂ€rkern, IP-Kameras, Internet-of-Things-GerĂ€ten und anderen NetzwerkgerĂ€ten von mehr als 60 Herstellern verwendet, darunter Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT-Link, Netgear, Smartlink, UPVEL, ZTE und Zyxel.

Beispiele fĂŒr Exploits, die bereits öffentlich zugĂ€nglich sind, zeigen, wie man entfernten Zugriff auf GerĂ€te erhĂ€lt und eigene Befehle ausfĂŒhrt, am Beispiel eines Angriffs auf den Router Nexxt Nebula 300 Plus. ZusĂ€tzlich wurden Tools veröffentlicht, um Firmware auf Schwachstellen zu analysieren.

Angesichts der Probleme bei der Vorbereitung und Lieferung sowie der Firmware-Updates fĂŒr bereits veröffentlichte GerĂ€te wird in naher Zukunft mit automatisierten Angriffen und WĂŒrmern gerechnet, die anfĂ€llige NetzwerkgerĂ€te angreifen. Nach einem erfolgreichen Angriff können die betroffenen GerĂ€te von Angreifern verwendet werden, um beispielsweise Botnetze zu bilden, Backdoors zur Schaffung von HintertĂŒren in das interne Unternehmensnetzwerk zu implementieren, Transitdatenverkehr abzufangen oder ihn auf externe Hosts umzuleiten.

Die Schwachstelle wird durch einen Buffer Overflow im Modul "SIP ALG" (SIP Application Layer Gateway) verursacht, das zur Weiterleitung von SIP-Paketen hinter einem NAT verwendet wird. Das Problem tritt aufgrund fehlender ÜberprĂŒfung der tatsĂ€chlichen GrĂ¶ĂŸe der empfangenen Daten auf, was zum Überschreiben des Speichers außerhalb des festen Puffers fĂŒhrt, wenn die Funktion strcpy wĂ€hrend der Verarbeitung von SIP-Paketen aufgerufen wird. Ein Angriff kann durch das Senden eines UDP-Pakets mit ungĂŒltigen Werten in den Datenfeldern des SDP-Blocks oder im SIP-Protokollkopf erfolgen. Um die Schwachstelle auszunutzen, reicht es aus, ein einziges Paket an einen beliebigen UDP-Port des WAN-Interfaces zu senden.

Als vorĂŒbergehende Schutzmaßnahme wird empfohlen, an der Firewall oder im System zur Verhinderung von Netzangriffen UDP-Pakete mit SIP-Nachrichten "INVITE", der Zeile "m=audio" und einer GrĂ¶ĂŸe von mehr als 128 Bytes zu blockieren. Beispielregel zur Erkennung von Ausnutzungsversuchen in IDS Snort 3: alert udp any any -> any any (sid:1000000; \ msg:"Realtek eCOS SDK SIP Traffic Exploit CVE-2022-27255"; \ content: "invite"; depth: 6; nocase; \ content: "m=audio "; \ isdataat: 128,relative; content:!"|0d|"; within: 128;)

Quelle: opennet.ru

Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server đŸ”„ Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster