Eri langattomien laitteiden valmistajien laiteohjelmistoissaan käyttämissä Realtek SDK:n osissa on tunnistettu neljä haavoittuvuutta, joiden avulla todentamaton hyökkääjä voi suorittaa koodin etänä laitteella, jolla on korotetut oikeudet. Alustavien arvioiden mukaan ongelmat koskevat vähintään 200 laitemallia 65 eri toimittajalta, mukaan lukien eri mallit langattomista reitittimistä Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT- Link, Netgear, Realtek, Smartlink, UPVEL, ZTE ja Zyxel.
Ongelma kattaa useita RTL8xxx SoC:hen perustuvia langattomia laitteita langattomista reitittimistä ja Wi-Fi-vahvistimista IP-kameroihin ja älykkäisiin valaistuksen ohjauslaitteisiin. RTL8xxx-siruihin pohjautuvat laitteet käyttävät arkkitehtuuria, joka sisältää kahden SoC:n asennuksen - ensimmäinen asentaa valmistajan Linux-pohjaisen laiteohjelmiston ja toinen käyttää erillistä riisuttua Linux-ympäristöä, jossa on toteutettu tukiasematoimintoja. Toisen ympäristön täyttö perustuu Realtekin SDK:ssa toimittamiin vakiokomponentteihin. Nämä komponentit käsittelevät myös ulkoisten pyyntöjen lähettämisen tuloksena saatuja tietoja.
Haavoittuvuudet vaikuttavat tuotteisiin, jotka käyttävät Realtek SDK v2.x, Realtek “Jungle” SDK v3.0-3.4 ja Realtek “Luna” SDK ennen versiota 1.3.2. Korjaus on jo julkaistu Realtek "Luna" SDK 1.3.2a -päivityksessä, ja myös Realtek "Jungle" SDK:n korjaustiedostoja valmistellaan julkaistavaksi. Realtek SDK 2.x:n korjauksia ei ole tarkoitus julkaista, koska tämän haaran tuki on jo lopetettu. Kaikille haavoittuvuuksille tarjotaan toimivia hyväksikäyttöprototyyppejä, joiden avulla voit suorittaa koodisi laitteella.
Tunnistetut haavoittuvuudet (kahdelle ensimmäiselle on määritetty vakavuusaste 8.1 ja loput - 9.8):
- CVE-2021-35392 - Puskurin ylivuoto mini_upnpd- ja wscd-prosesseissa, jotka toteuttavat "WiFi Simple Config" -toiminnon (mini_upnpd käsittelee SSDP-paketteja, ja wscd SSDP-tuen lisäksi käsittelee UPnP-pyynnöt HTTP-protokollan perusteella). Hyökkääjä voi suorittaa koodinsa lähettämällä erityisesti muotoiltuja UPnP "TILAUS"-pyyntöjä, joissa on liian suuri porttinumero "Takaisinsoitto" -kentässä. TILAA /upnp/event/WFAWLANConfig1 HTTP/1.1 Isäntä: 192.168.100.254:52881 Takaisinsoitto: NT:upnp:tapahtuma
- CVE-2021-35393 on WiFi Simple Config -käsittelijöiden haavoittuvuus, joka ilmenee käytettäessä SSDP-protokollaa (käyttää UDP:tä ja HTTP:n kaltaista pyyntömuotoa). Ongelma johtuu kiinteän 512 tavun puskurin käytöstä käsiteltäessä "ST:upnp"-parametria asiakkaiden lähettämissä M-SEARCH-sanomissa palveluiden olemassaolon määrittämiseksi verkossa.
- CVE-2021-35394 on MP Daemon -prosessin haavoittuvuus, joka vastaa diagnostisten toimintojen suorittamisesta (ping, traceroute). Ongelma mahdollistaa omien komentojen korvaamisen johtuen riittämättömästä argumenttien tarkistuksesta ulkoisia apuohjelmia suoritettaessa.
- CVE-2021-35395 on joukko Web-käyttöliittymien haavoittuvuuksia, jotka perustuvat http-palvelimiin /bin/webs ja /bin/boa. Molemmissa palvelimissa tunnistettiin tyypillisiä haavoittuvuuksia, jotka johtuvat siitä, että argumentteja ei tarkistettu ennen ulkoisten apuohjelmien käynnistämistä system()-funktiolla. Erot johtuvat vain erilaisten API:iden käytöstä hyökkäyksissä. Kumpikaan käsittelijä ei sisältänyt suojausta CSRF-hyökkäyksiä vastaan eikä "DNS-rebinding" -tekniikkaa, joka mahdollistaa pyyntöjen lähettämisen ulkoisesta verkosta ja rajoittaa pääsyn rajapintaan vain sisäiseen verkkoon. Prosessit siirtyivät myös oletusarvoisesti ennalta määritettyyn valvojan/valvojan tiliin. Lisäksi käsittelijöissä on tunnistettu useita pinon ylivuotoja, joita tapahtuu, kun lähetetään liian suuria argumentteja. POST /goform/formWsc HTTP/1.1 Isäntä: 192.168.100.254 Sisältö-pituus: 129 Sisältö-tyyppi: application/x-www-form-urlencoded submit-url=%2Fwlwps.asp&resetUnCfg=0&peerPin=12345678f1ig> ;&setPIN=Käynnistä+PIN&configVxd=off&resetRptUnCfg=0&peerRptPin=
- Lisäksi UDPServer-prosessissa on tunnistettu useita muita haavoittuvuuksia. Kuten kävi ilmi, muut tutkijat olivat havainneet yhden ongelman jo vuonna 2015, mutta sitä ei täysin korjattu. Ongelma johtuu system()-funktiolle välitettyjen argumenttien puutteellisesta validoinnista, ja sitä voidaan hyödyntää lähettämällä merkkijono, kuten "orf;ls" verkkoporttiin 9034. Lisäksi UDPServerissä on havaittu puskurin ylivuoto johtuen sprintf-toiminnon turvattomasta käytöstä, jota voidaan myös mahdollisesti käyttää hyökkäyksiin.
Lähde: opennet.ru