Quatre vulnérabilités ont été identifiées dans les composants du SDK Realtek, utilisé par divers fabricants d'appareils sans fil dans leur micrologiciel, qui pourraient permettre à un attaquant non authentifié d'exécuter du code à distance sur un appareil doté de privilèges élevés. Selon des estimations préliminaires, les problèmes affectent au moins 200 modèles d'appareils provenant de 65 fournisseurs différents, dont divers modèles de routeurs sans fil Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT- Lien, Netgear, Realtek, Smartlink, UPVEL, ZTE et Zyxel.
Le problème couvre différentes classes d'appareils sans fil basés sur le SoC RTL8xxx, des routeurs sans fil et amplificateurs Wi-Fi aux caméras IP et dispositifs de contrôle d'éclairage intelligents. Les appareils basés sur des puces RTL8xxx utilisent une architecture qui implique l'installation de deux SoC - le premier installe le firmware basé sur Linux du fabricant et le second exécute un environnement Linux épuré séparé avec la mise en œuvre de fonctions de point d'accès. Le remplissage du deuxième environnement est basé sur des composants standards fournis par Realtek dans le SDK. Ces composants traitent également les données reçues suite à l'envoi de requêtes externes.
Les vulnérabilités affectent les produits qui utilisent Realtek SDK v2.x, Realtek « Jungle » SDK v3.0-3.4 et Realtek « Luna » SDK avant la version 1.3.2. Le correctif a déjà été publié dans la mise à jour Realtek "Luna" SDK 1.3.2a, et des correctifs pour le SDK Realtek "Jungle" sont également en cours de préparation pour publication. Il n'est pas prévu de publier de correctifs pour Realtek SDK 2.x, car la prise en charge de cette branche a déjà été interrompue. Pour toutes les vulnérabilités, des prototypes d'exploit fonctionnels sont fournis qui vous permettent d'exécuter votre code sur l'appareil.
Vulnérabilités identifiées (les deux premières se voient attribuer un niveau de gravité de 8.1 et les autres de 9.8) :
- CVE-2021-35392 - Débordement de tampon dans les processus mini_upnpd et wscd qui implémentent la fonctionnalité « WiFi Simple Config » (mini_upnpd traite les paquets SSDP et wscd, en plus de prendre en charge SSDP, traite les requêtes UPnP basées sur le protocole HTTP). Un attaquant peut réaliser l'exécution de son code en envoyant des requêtes UPnP « SUBSCRIBE » spécialement conçues avec un numéro de port trop grand dans le champ « Callback ». ABONNEZ-VOUS /upnp/event/WFAWLANConfig1 HTTP/1.1 Hôte : 192.168.100.254:52881 Rappel : NT:upnp:événement
- CVE-2021-35393 est une vulnérabilité dans les gestionnaires WiFi Simple Config qui se produit lors de l'utilisation du protocole SSDP (utilise UDP et un format de requête similaire à HTTP). Le problème est dû à l'utilisation d'un tampon fixe de 512 octets lors du traitement du paramètre « ST:upnp » dans les messages M-SEARCH envoyés par les clients pour déterminer la présence de services sur le réseau.
- CVE-2021-35394 est une vulnérabilité dans le processus MP Daemon, qui est responsable de l'exécution des opérations de diagnostic (ping, traceroute). Le problème permet la substitution de ses propres commandes en raison d'une vérification insuffisante des arguments lors de l'exécution d'utilitaires externes.
- CVE-2021-35395 est une série de vulnérabilités dans les interfaces web basées sur les serveurs http /bin/webs et /bin/boa. Des vulnérabilités typiques causées par le manque d'arguments de vérification avant de lancer des utilitaires externes à l'aide de la fonction system() ont été identifiées sur les deux serveurs. Les différences se résument uniquement à l’utilisation de différentes API pour les attaques. Les deux gestionnaires n'incluaient pas de protection contre les attaques CSRF et la technique de « DNS rebinding », qui permet d'envoyer des requêtes depuis un réseau externe tout en limitant l'accès à l'interface uniquement au réseau interne. Les processus sont également transférés par défaut vers le compte superviseur/superviseur prédéfini. De plus, plusieurs débordements de pile ont été identifiés dans les gestionnaires, qui se produisent lorsque des arguments trop volumineux sont envoyés. POST /goform/formWsc HTTP/1.1 Hôte : 192.168.100.254 Longueur du contenu : 129 Type de contenu : application/x-www-form-urlencoded submit-url=%2Fwlwps.asp&resetUnCfg=0&peerPin=12345678;ifconfig>/tmp/1 ;&setPIN=Démarrer+PIN&configVxd=off&resetRptUnCfg=0&peerRptPin=
- De plus, plusieurs autres vulnérabilités ont été identifiées dans le processus UDPServer. Il s’est avéré que l’un des problèmes avait déjà été découvert par d’autres chercheurs en 2015, mais n’a pas été complètement corrigé. Le problème est dû à un manque de validation appropriée des arguments passés à la fonction system() et peut être exploité en envoyant une chaîne comme « orf;ls » au port réseau 9034. De plus, un débordement de tampon a été identifié dans UDPServer en raison d'une utilisation non sécurisée de la fonction sprintf, qui peut également potentiellement être utilisée pour mener des attaques.
Source: opennet.ru