Forscher von Faraday Security haben auf der DEFCON-Konferenz Details zur Ausnutzung einer kritischen Schwachstelle (CVE-2022-27255) im SDK fĂŒr Realtek RTL819x-Chips vorgestellt. Diese Schwachstelle ermöglicht es, durch das Senden eines speziell formatierten UDP-Pakets eigenen Code auf dem GerĂ€t auszufĂŒhren. Die Schwachstelle ist bemerkenswert, da sie GerĂ€te angreift, bei denen der Zugriff auf die WeboberflĂ€che fĂŒr externe Netzwerke deaktiviert ist â es genĂŒgt, ein einziges UDP-Paket zu senden.
Die Schwachstelle betrifft GerĂ€te, die verwundbare Versionen des Realtek SDK verwenden, einschlieĂlich eCos RSDK 1.5.7p1 und MSDK 4.9.4p1. Sicherheitsupdates fĂŒr das eCos SDK wurden am 25. MĂ€rz von Realtek veröffentlicht. Derzeit ist unklar, welche spezifischen GerĂ€te von dem Problem betroffen sind â SoCs von Realtek RTL819x werden in Netzwerkroutern, Zugriffspunkten, WLAN-VerstĂ€rkern, IP-Kameras, Internet-of-Things-GerĂ€ten und anderen NetzwerkgerĂ€ten von mehr als 60 Herstellern verwendet, darunter Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT-Link, Netgear, Smartlink, UPVEL, ZTE und Zyxel.
Beispiele fĂŒr Exploits, die bereits öffentlich zugĂ€nglich sind, zeigen, wie man entfernten Zugriff auf GerĂ€te erhĂ€lt und eigene Befehle ausfĂŒhrt, am Beispiel eines Angriffs auf den Router Nexxt Nebula 300 Plus. ZusĂ€tzlich wurden Tools veröffentlicht, um Firmware auf Schwachstellen zu analysieren.
Angesichts der Probleme bei der Vorbereitung und Lieferung sowie der Firmware-Updates fĂŒr bereits veröffentlichte GerĂ€te wird in naher Zukunft mit automatisierten Angriffen und WĂŒrmern gerechnet, die anfĂ€llige NetzwerkgerĂ€te angreifen. Nach einem erfolgreichen Angriff können die betroffenen GerĂ€te von Angreifern verwendet werden, um beispielsweise Botnetze zu bilden, Backdoors zur Schaffung von HintertĂŒren in das interne Unternehmensnetzwerk zu implementieren, Transitdatenverkehr abzufangen oder ihn auf externe Hosts umzuleiten.
Die Schwachstelle wird durch einen Buffer Overflow im Modul "SIP ALG" (SIP Application Layer Gateway) verursacht, das zur Weiterleitung von SIP-Paketen hinter einem NAT verwendet wird. Das Problem tritt aufgrund fehlender ĂberprĂŒfung der tatsĂ€chlichen GröĂe der empfangenen Daten auf, was zum Ăberschreiben des Speichers auĂerhalb des festen Puffers fĂŒhrt, wenn die Funktion strcpy wĂ€hrend der Verarbeitung von SIP-Paketen aufgerufen wird. Ein Angriff kann durch das Senden eines UDP-Pakets mit ungĂŒltigen Werten in den Datenfeldern des SDP-Blocks oder im SIP-Protokollkopf erfolgen. Um die Schwachstelle auszunutzen, reicht es aus, ein einziges Paket an einen beliebigen UDP-Port des WAN-Interfaces zu senden.
Als vorĂŒbergehende SchutzmaĂnahme wird empfohlen, an der Firewall oder im System zur Verhinderung von Netzangriffen UDP-Pakete mit SIP-Nachrichten "INVITE", der Zeile "m=audio" und einer GröĂe von mehr als 128 Bytes zu blockieren. Beispielregel zur Erkennung von Ausnutzungsversuchen in IDS Snort 3: alert udp any any -> any any (sid:1000000; \ msg:"Realtek eCOS SDK SIP Traffic Exploit CVE-2022-27255"; \ content: "invite"; depth: 6; nocase; \ content: "m=audio "; \ isdataat: 128,relative; content:!"|0d|"; within: 128;)
Quelle: opennet.ru
