Τέσσερα τρωτά σημεία έχουν εντοπιστεί σε στοιχεία του Realtek SDK, το οποίο χρησιμοποιείται από διάφορους κατασκευαστές ασύρματων συσκευών στο υλικολογισμικό τους, που θα μπορούσαν να επιτρέψουν σε έναν εισβολέα χωρίς έλεγχο ταυτότητας να εκτελέσει εξ αποστάσεως κώδικα σε μια συσκευή με αυξημένα προνόμια. Σύμφωνα με προκαταρκτικές εκτιμήσεις, τα προβλήματα επηρεάζουν τουλάχιστον 200 μοντέλα συσκευών από 65 διαφορετικούς προμηθευτές, συμπεριλαμβανομένων διαφόρων μοντέλων ασύρματων δρομολογητών Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT- Link, Netgear, Realtek, Smartlink, UPVEL, ZTE και Zyxel.
Το πρόβλημα καλύπτει διάφορες κατηγορίες ασύρματων συσκευών που βασίζονται στο RTL8xxx SoC, από ασύρματους δρομολογητές και ενισχυτές Wi-Fi έως κάμερες IP και έξυπνες συσκευές ελέγχου φωτισμού. Οι συσκευές που βασίζονται σε τσιπ RTL8xxx χρησιμοποιούν μια αρχιτεκτονική που περιλαμβάνει την εγκατάσταση δύο SoC - το πρώτο εγκαθιστά το υλικολογισμικό του κατασκευαστή που βασίζεται σε Linux και το δεύτερο εκτελεί ένα ξεχωριστό απογυμνωμένο περιβάλλον Linux με την υλοποίηση λειτουργιών σημείου πρόσβασης. Η πλήρωση του δεύτερου περιβάλλοντος βασίζεται σε τυπικά στοιχεία που παρέχονται από τη Realtek στο SDK. Αυτά τα στοιχεία επεξεργάζονται επίσης δεδομένα που λαμβάνονται ως αποτέλεσμα της αποστολής εξωτερικών αιτημάτων.
Τα τρωτά σημεία επηρεάζουν προϊόντα που χρησιμοποιούν το Realtek SDK v2.x, το Realtek “Jungle” SDK v3.0-3.4 και το Realtek “Luna” SDK πριν από την έκδοση 1.3.2. Η ενημέρωση κώδικα έχει ήδη κυκλοφορήσει στην ενημερωμένη έκδοση Realtek "Luna" SDK 1.3.2a, ενώ προετοιμάζονται επίσης για δημοσίευση ενημερώσεις κώδικα για το Realtek "Jungle" SDK. Δεν υπάρχουν σχέδια για την έκδοση διορθώσεων για το Realtek SDK 2.x, καθώς η υποστήριξη για αυτόν τον κλάδο έχει ήδη διακοπεί. Για όλα τα τρωτά σημεία, παρέχονται λειτουργικά πρωτότυπα εκμετάλλευσης που σας επιτρέπουν να εκτελέσετε τον κώδικά σας στη συσκευή.
Εντοπίστηκαν τρωτά σημεία (στα δύο πρώτα εκχωρείται επίπεδο σοβαρότητας 8.1 και στα υπόλοιπα - 9.8):
- CVE-2021-35392 - Υπερχείλιση buffer στις διεργασίες mini_upnpd και wscd που υλοποιούν τη λειτουργία "WiFi Simple Config" (το mini_upnpd επεξεργάζεται πακέτα SSDP και το wscd, εκτός από την υποστήριξη SSDP, επεξεργάζεται αιτήματα UPnP με βάση το πρωτόκολλο HTTP). Ένας εισβολέας μπορεί να επιτύχει την εκτέλεση του κώδικά του στέλνοντας ειδικά δημιουργημένα αιτήματα UPnP "SUBSCRIBE" με πολύ μεγάλο αριθμό θύρας στο πεδίο "Callback". ΕΓΓΡΑΦΗ /upnp/event/WFAWLANConfig1 HTTP/1.1 Κεντρικός υπολογιστής: 192.168.100.254:52881 Επιστροφή κλήσης: NT:upnp:event
- Το CVE-2021-35393 είναι μια ευπάθεια στους χειριστές WiFi Simple Config που παρουσιάζεται κατά τη χρήση του πρωτοκόλλου SSDP (χρησιμοποιεί UDP και μια μορφή αιτήματος παρόμοια με το HTTP). Το ζήτημα προκαλείται από τη χρήση ενός σταθερού buffer 512 byte κατά την επεξεργασία της παραμέτρου "ST:upnp" σε μηνύματα M-SEARCH που αποστέλλονται από πελάτες για τον προσδιορισμό της παρουσίας υπηρεσιών στο δίκτυο.
- Το CVE-2021-35394 είναι μια ευπάθεια στη διαδικασία MP Daemon, η οποία είναι υπεύθυνη για την εκτέλεση διαγνωστικών λειτουργιών (ping, traceroute). Το πρόβλημα επιτρέπει την αντικατάσταση των δικών του εντολών λόγω ανεπαρκούς ελέγχου των ορισμάτων κατά την εκτέλεση εξωτερικών βοηθητικών προγραμμάτων.
- Το CVE-2021-35395 είναι μια σειρά από τρωτά σημεία σε διεπαφές ιστού που βασίζονται στους διακομιστές http /bin/webs και /bin/boa. Τυπικές ευπάθειες που προκαλούνται από την έλλειψη ορισμών ελέγχου πριν από την εκκίνηση εξωτερικών βοηθητικών προγραμμάτων χρησιμοποιώντας τη συνάρτηση system() εντοπίστηκαν και στους δύο διακομιστές. Οι διαφορές οφείλονται μόνο στη χρήση διαφορετικών API για επιθέσεις. Και οι δύο χειριστές δεν περιελάμβαναν προστασία από επιθέσεις CSRF και την τεχνική "DNS rebinding", η οποία επιτρέπει την αποστολή αιτημάτων από ένα εξωτερικό δίκτυο ενώ περιορίζει την πρόσβαση στη διεπαφή μόνο στο εσωτερικό δίκτυο. Οι διεργασίες έχουν επίσης προεπιλεγεί στον προκαθορισμένο λογαριασμό επόπτη/επόπτη. Επιπλέον, έχουν εντοπιστεί πολλές υπερχειλίσεις στοίβας στους χειριστές, οι οποίες συμβαίνουν όταν αποστέλλονται ορίσματα που είναι πολύ μεγάλα. POST /goform/formWsc HTTP/1.1 Κεντρικός υπολογιστής: 192.168.100.254 Content-Length: 129 Content-Type: application/x-www-form-urlencoded submit-url=%2Fwlwps.asp&resetUnCfgg=0/12345678mpif; ;&setPIN=Start+PIN&configVxd=off&resetRptUnCfg=1&peerRptPin=
- Επιπλέον, έχουν εντοπιστεί αρκετά ακόμη τρωτά σημεία στη διαδικασία UDPServer. Όπως αποδείχθηκε, ένα από τα προβλήματα είχε ήδη ανακαλυφθεί από άλλους ερευνητές το 2015, αλλά δεν είχε διορθωθεί πλήρως. Το πρόβλημα προκαλείται από την έλλειψη σωστής επικύρωσης των ορισμάτων που διαβιβάζονται στη συνάρτηση system() και μπορεί να εκμεταλλευτεί με την αποστολή μιας συμβολοσειράς όπως 'orf;ls' στη θύρα δικτύου 9034. Επιπλέον, έχει εντοπιστεί υπερχείλιση buffer στον UDPServer λόγω μη ασφαλούς χρήσης της συνάρτησης sprintf, η οποία μπορεί επίσης να χρησιμοποιηθεί για την πραγματοποίηση επιθέσεων.
Πηγή: opennet.ru