Se han identificado cuatro vulnerabilidades en componentes del SDK de Realtek, que utilizan varios fabricantes de dispositivos inalámbricos en su firmware, que podrían permitir a un atacante no autenticado ejecutar código de forma remota en un dispositivo con privilegios elevados. Según estimaciones preliminares, los problemas afectan al menos a 200 modelos de dispositivos de 65 proveedores diferentes, incluidos varios modelos de enrutadores inalámbricos Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT- Enlace, Netgear, Realtek, Smartlink, UPVEL, ZTE y Zyxel.
El problema cubre varias clases de dispositivos inalámbricos basados en el SoC RTL8xxx, desde enrutadores inalámbricos y amplificadores de Wi-Fi hasta cámaras IP y dispositivos de control de iluminación inteligentes. Los dispositivos basados en chips RTL8xxx utilizan una arquitectura que implica la instalación de dos SoC: el primero instala el firmware basado en Linux del fabricante y el segundo ejecuta un entorno Linux simplificado e independiente con la implementación de funciones de punto de acceso. El llenado del segundo entorno se basa en componentes estándar proporcionados por Realtek en el SDK. Estos componentes también procesan datos recibidos como resultado del envío de solicitudes externas.
Las vulnerabilidades afectan a los productos que utilizan Realtek SDK v2.x, Realtek “Jungle” SDK v3.0-3.4 y Realtek “Luna” SDK antes de la versión 1.3.2. La solución ya se publicó en la actualización Realtek "Luna" SDK 1.3.2a, y también se están preparando para su publicación parches para Realtek "Jungle" SDK. No hay planes para publicar ninguna solución para Realtek SDK 2.x, ya que el soporte para esta rama ya ha sido descontinuado. Para todas las vulnerabilidades, se proporcionan prototipos de exploits funcionales que le permiten ejecutar su código en el dispositivo.
Vulnerabilidades identificadas (a las dos primeras se les asigna un nivel de gravedad de 8.1 y al resto, 9.8):
- CVE-2021-35392: Desbordamiento de búfer en los procesos mini_upnpd y wscd que implementan la funcionalidad “WiFi Simple Config” (mini_upnpd procesa paquetes SSDP y wscd, además de admitir SSDP, procesa solicitudes UPnP basadas en el protocolo HTTP). Un atacante puede lograr la ejecución de su código enviando solicitudes UPnP “SUBSCRIBE” especialmente diseñadas con un número de puerto demasiado grande en el campo “Callback”. SUSCRIBIRSE /upnp/event/WFAWLANConfig1 HTTP/1.1 Host: 192.168.100.254:52881 Devolución de llamada: NT:upnp:evento
- CVE-2021-35393 es una vulnerabilidad en los controladores de WiFi Simple Config que ocurre cuando se usa el protocolo SSDP (usa UDP y un formato de solicitud similar a HTTP). El problema se debe al uso de un búfer fijo de 512 bytes al procesar el parámetro "ST:upnp" en los mensajes M-SEARCH enviados por los clientes para determinar la presencia de servicios en la red.
- CVE-2021-35394 es una vulnerabilidad en el proceso MP Daemon, el cual se encarga de realizar operaciones de diagnóstico (ping, traceroute). El problema permite la sustitución de comandos propios debido a una verificación insuficiente de los argumentos al ejecutar utilidades externas.
- CVE-2021-35395 es una serie de vulnerabilidades en interfaces web basadas en los servidores http /bin/webs y /bin/boa. En ambos servidores se identificaron vulnerabilidades típicas causadas por la falta de argumentos de verificación antes de iniciar utilidades externas usando la función system(). Las diferencias se reducen únicamente al uso de diferentes API para los ataques. Ambos controladores no incluían protección contra ataques CSRF ni la técnica de “rebinding DNS”, que permite enviar solicitudes desde una red externa mientras restringe el acceso a la interfaz solo a la red interna. Los procesos también estaban predeterminados en la cuenta de supervisor/supervisor predefinida. Además, se han identificado varios desbordamientos de pila en los manejadores, que ocurren cuando se envían argumentos demasiado grandes. POST /goform/formWsc HTTP/1.1 Host: 192.168.100.254 Longitud del contenido: 129 Tipo de contenido: application/x-www-form-urlencoded submit-url=%2Fwlwps.asp&resetUnCfg=0&peerPin=12345678;ifconfig>/tmp/1 ;&setPIN=Inicio+PIN&configVxd=apagado&resetRptUnCfg=0&peerRptPin=
- Además, se han identificado varias vulnerabilidades más en el proceso UDPServer. Al final resultó que, uno de los problemas ya había sido descubierto por otros investigadores en 2015, pero no se solucionó por completo. El problema se debe a una falta de validación adecuada de los argumentos pasados a la función system() y puede explotarse enviando una cadena como 'orf;ls' al puerto de red 9034. Además, se ha identificado un desbordamiento del buffer en UDPServer debido al uso inseguro de la función sprintf, que potencialmente también puede usarse para llevar a cabo ataques.
Fuente: opennet.ru