In den Komponenten des Realtek SDK, das von verschiedenen Herstellern drahtloser GerĂ€te in ihren Firmware-Versionen verwendet wird, wurden vier Schwachstellen entdeckt, die es einem nicht authentifizierten Angreifer ermöglichen, aus der Ferne Code mit erhöhten Rechten auf dem GerĂ€t auszufĂŒhren. VorlĂ€ufigen SchĂ€tzungen zufolge sind mindestens 200 Modelle von 65 verschiedenen Anbietern betroffen, darunter verschiedene Modelle von drahtlosen Routern von Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT-Link, Netgear, Realtek, Smartlink, UPVEL, ZTE und Zyxel.
Das Problem betrifft verschiedene Klassen von drahtlosen GerĂ€ten auf Basis von SoC RTL8xxx, von drahtlosen Routern und Wi-Fi-Entstörern bis hin zu IP-Kameras und intelligenten GerĂ€ten zur Steuerung der Beleuchtung. In GerĂ€ten, die auf RTL8xxx-Chips basieren, wird eine Architektur verwendet, die die Installation von zwei SoCs vorsieht â auf dem ersten wird die Hersteller-Firmware auf Basis von Linux installiert, wĂ€hrend auf dem zweiten eine separate, reduzierte Linux-Umgebung mit der Implementierung von Zugangspunkt-Funktionen lĂ€uft. Die Ausstattung der zweiten Umgebung basiert auf typischen Komponenten, die von Realtek im SDK bereitgestellt werden. Diese Komponenten verarbeiten unter anderem die Daten, die durch das Senden externer Anfragen entstehen.
Die SicherheitsanfĂ€lligkeiten betreffen Produkte, die Realtek SDK v2.x, Realtek âJungleâ SDK v3.0-3.4 und Realtek âLunaâ SDK bis zur Version 1.3.2 verwenden. Ein Fix wurde bereits im Update Realtek âLunaâ SDK 1.3.2a veröffentlicht, und es werden Patches fĂŒr das Realtek âJungleâ SDK vorbereitet. FĂŒr das Realtek SDK 2.x sind keine Fixes geplant, da die Wartung dieses Zweigs bereits eingestellt wurde. FĂŒr alle SicherheitsanfĂ€lligkeiten wurden funktionierende Prototypen von Exploits bereitgestellt, die die AusfĂŒhrung eigenen Codes auf dem GerĂ€t ermöglichen.
Entdeckte SicherheitsanfÀlligkeiten (den ersten beiden wurde ein Gefahrenniveau von 8,1 zugewiesen, den anderen 9,8):
- CVE-2021-35392 â PufferĂŒberlauf in den Prozessen mini_upnpd und wscd, welche die FunktionalitĂ€t âWiFi Simple Configâ implementieren (mini_upnpd ist zustĂ€ndig fĂŒr die Verarbeitung von SSDP-Paketen, wĂ€hrend wscd neben SSDP auch die Verarbeitung von UPnP-Anfragen basierend auf dem HTTP-Protokoll ĂŒbernimmt). Ein Angreifer kann die AusfĂŒhrung seines Codes erreichen, indem er speziell formatierte UPnP-Anfragen âSUBSCRIBEâ mit einem zu hohen Wert fĂŒr die Portnummer im Feld âCallbackâ sendet. SUBSCRIBE /upnp/event/WFAWLANConfig1 HTTP/1.1 Host: 192.168.100.254:52881 Callback: NT: upnp:event
- CVE-2021-35393 â SicherheitsanfĂ€lligkeit in den Handlern âWiFi Simple Configâ, die beim Einsatz des SSDP-Protokolls auftritt (nutzt UDP und ein an HTTP Ă€hnliches Anfrageformat). Das Problem resultiert aus der Verwendung eines festen Puffers von 512 Bytes bei der Verarbeitung des Parameters âST:upnpâ in den M-SEARCH-Nachrichten, die von Clients gesendet werden, um die VerfĂŒgbarkeit von Diensten im Netzwerk zu bestimmen.
- CVE-2021-35394 â Schwachstelle im MP Daemon, der fĂŒr die DurchfĂŒhrung von Diagnosesystemen (Ping, Traceroute) verantwortlich ist. Das Problem ermöglicht es, eigene Befehle einzuschleusen, da bei der AusfĂŒhrung externer Tools die Argumente unzureichend geprĂŒft werden.
- CVE-2021-35395 â Eine Reihe von Schwachstellen in den WeboberflĂ€chen basierend auf den HTTP-Servern /bin/webs und /bin/boa. In beiden Servern Typische Schwachstellen wurden festgestellt, die durch die fehlende ĂberprĂŒfung von Argumenten vor der AusfĂŒhrung externer Dienstprogramme mit der Funktion system() verursacht werden. Die Unterschiede beziehen sich nur auf die Verwendung verschiedener APIs fĂŒr den Angriff. Beide Handler hatten keinen Schutz gegen CSRF-Angriffe und Techniken wie "DNS Rebinding", die es ermöglichen, Anfragen aus einem externen Netzwerk zu senden, wĂ€hrend der Zugriff auf die Schnittstelle nur fĂŒr das interne Netzwerk eingeschrĂ€nkt war. In den Prozessen wurde auĂerdem standardmĂ€Ăig das vordefinierte Konto supervisor/supervisor verwendet. DarĂŒber hinaus wurden bei den Handlern mehrere StackĂŒberlĂ€ufe festgestellt, die auftreten, wenn Argumente mit zu groĂer GröĂe gesendet werden. POST /goform/formWsc HTTP/1.1 Host: 192.168.100.254 Content-Length: 129 Content-Type: application/x-www-form-urlencoded submit-url=wlwps.asp&resetUnCfg=0&peerPin=12345678;ifconfig>/tmp/1;&setPIN=Start+PIN&configVxd=off&resetRptUnCfg=0&peerRptPin=
- Es wurde festgestellt, dass im UDPServer mehrere weitere SicherheitsanfĂ€lligkeiten bestehen. Eine der Probleme wurde bereits 2015 von anderen Forschern entdeckt, jedoch nicht vollstĂ€ndig behoben. Das Problem resultiert aus unzureichender Validierung der Argumente, die an die Funktion system() ĂŒbergeben werden, und kann durch das Senden einer Zeichenkette wie 'orf;ls' an den Netzwerkport 9034 ausgenutzt werden. DarĂŒber hinaus wurde im UDPServer ein PufferĂŒberlauf aufgrund der unsicheren Verwendung der Funktion sprintf entdeckt, der ebenfalls potenziell fĂŒr Angriffe genutzt werden kann.
Quelle: opennet.ru
