Realtek SDK komponentides, mida erinevad traadita seadmete tootjad oma püsivaras kasutavad, on tuvastatud neli turvaauku, mis võivad lubada autentimata ründajal kõrgendatud õigustega seadmes koodi kaugkäivitada. Esialgsete hinnangute kohaselt puudutavad probleemid vähemalt 200 seadmemudelit 65 erinevalt tarnijalt, sealhulgas erinevad juhtmevabade ruuterite mudelid Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT- Link, Netgear, Realtek, Smartlink, UPVEL, ZTE ja Zyxel.
Probleem hõlmab erinevaid RTL8xxx SoC-l põhinevaid traadita seadmete klasse alates juhtmeta ruuteritest ja WiFi-võimenditest kuni IP-kaamerate ja nutikate valgustuse juhtimisseadmeteni. RTL8xxx kiipidel põhinevad seadmed kasutavad arhitektuuri, mis hõlmab kahe SoC-i installimist - esimene installib tootja Linuxi-põhise püsivara ja teine töötab eraldi eemaldatud Linuxi keskkonda pääsupunkti funktsioonide rakendamisega. Teise keskkonna täitmine põhineb Realteki SDK-s pakutavatel standardkomponentidel. Need komponendid töötlevad ka väliste päringute saatmise tulemusena saadud andmeid.
Turvaaugud mõjutavad tooteid, mis kasutavad Realtek SDK v2.x, Realtek “Jungle” SDK v3.0-3.4 ja Realtek “Luna” SDK enne versiooni 1.3.2. Parandus on Realteki "Luna" SDK 1.3.2a värskenduses juba välja antud ning avaldamiseks valmistatakse ette ka Realteki "Jungle" SDK plaastreid. Realtek SDK 2.x parandusi ei plaanita välja anda, kuna selle haru tugi on juba lõpetatud. Kõikide haavatavuste jaoks on ette nähtud töötavad ärakasutamise prototüübid, mis võimaldavad teil oma koodi seadmes käivitada.
Tuvastatud haavatavused (kahele esimesele on määratud raskusaste 8.1 ja ülejäänud - 9.8):
- CVE-2021-35392 – puhvri ületäitumine mini_upnpd ja wscd protsessides, mis rakendavad funktsiooni „WiFi Simple Config” (mini_upnpd töötleb SSDP pakette ja wscd töötleb lisaks SSDP toetamisele ka HTTP-protokolli alusel UPnP päringuid). Ründaja saab oma koodi käivitada, saates spetsiaalselt koostatud UPnP SUBSCRIBE päringud liiga suure pordinumbriga väljal „Tagasihelistamine”. TELLI /upnp/event/WFAWLANConfig1 HTTP/1.1 Host: 192.168.100.254:52881 Tagasihelistamine: NT:upnp:sündmus
- CVE-2021-35393 on haavatavus WiFi Simple Config töötlejates, mis ilmneb SSDP-protokolli kasutamisel (kasutab UDP-d ja HTTP-ga sarnast päringuvormingut). Probleemi põhjuseks on 512-baidise fikseeritud puhvri kasutamine parameetri "ST:upnp" töötlemisel klientide saadetud M-SEARCH-sõnumites, et teha kindlaks teenuste olemasolu võrgus.
- CVE-2021-35394 on haavatavus MP Daemoni protsessis, mis vastutab diagnostiliste toimingute (ping, traceroute) teostamise eest. Probleem võimaldab oma käske asendada, kuna argumente ei kontrollita väliste utiliitide täitmisel piisavalt.
- CVE-2021-35395 on haavatavuste seeria veebiliidestes, mis põhinevad http-serveritel /bin/webs ja /bin/boa. Mõlemas serveris tuvastati tüüpilised haavatavused, mis on põhjustatud argumentide kontrollimise puudumisest enne süsteemi() funktsiooni abil väliste utiliitide käivitamist. Erinevused taanduvad ainult erinevate API-de kasutamisele rünnakute jaoks. Mõlemad töötlejad ei sisaldanud kaitset CSRF-i rünnete vastu ega DNS-i uuesti sidumise tehnikat, mis võimaldab saata päringuid välisvõrgust, piirates samal ajal juurdepääsu liidesele ainult sisevõrguga. Protsessid kasutasid ka vaikimisi eelmääratletud juhendaja/juhendaja kontot. Lisaks on töötlejates tuvastatud mitu pinu ületäitumist, mis tekivad liiga suurte argumentide saatmisel. POST /goform/formWsc HTTP/1.1 Host: 192.168.100.254 Sisu pikkus: 129 Sisu tüüp: application/x-www-form-urlencoded submit-url=%2Fwlwps.asp&resetUnCfg=0&peerPin=12345678/1ig> ;&setPIN=Start+PIN&configVxd=off&resetRptUnCfg=0&peerRptPin=
- Lisaks on UDPServeri protsessis tuvastatud veel mitu turvaauku. Nagu selgus, olid ühe probleemi teised teadlased juba 2015. aastal avastanud, kuid seda ei kõrvaldatud täielikult. Probleemi põhjustab süsteemi() funktsioonile edastatud argumentide õige valideerimise puudumine ja seda saab ära kasutada stringi nagu 'orf;ls' saatmisel võrguporti 9034. Lisaks on UDPServeris tuvastatud puhvri ületäitumine sprintf-funktsiooni ebaturvalise kasutamise tõttu, mida saab potentsiaalselt kasutada ka rünnete läbiviimiseks.
Allikas: opennet.ru