Identificáronse catro vulnerabilidades en compoñentes do SDK de Realtek, que son utilizados por varios fabricantes de dispositivos sen fíos no seu firmware, que poderían permitir que un atacante non autenticado execute código de forma remota nun dispositivo con privilexios elevados. Segundo estimacións preliminares, os problemas afectan polo menos a 200 modelos de dispositivos de 65 provedores diferentes, incluíndo varios modelos de enrutadores sen fíos Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT- Link, Netgear, Realtek, Smartlink, UPVEL, ZTE e Zyxel.
O problema abrangue varias clases de dispositivos sen fíos baseados no SoC RTL8xxx, desde enrutadores sen fíos e amplificadores Wi-Fi ata cámaras IP e dispositivos de control de iluminación intelixente. Os dispositivos baseados en chips RTL8xxx usan unha arquitectura que implica a instalación de dous SoC: o primeiro instala o firmware baseado en Linux do fabricante e o segundo executa un ambiente Linux separado coa implementación de funcións de punto de acceso. O recheo do segundo ambiente baséase en compoñentes estándar proporcionados por Realtek no SDK. Estes compoñentes tamén procesan os datos recibidos como resultado do envío de solicitudes externas.
As vulnerabilidades afectan aos produtos que usan Realtek SDK v2.x, Realtek “Jungle” SDK v3.0-3.4 e Realtek “Luna” SDK antes da versión 1.3.2. A corrección xa se publicou na actualización 1.3.2a do SDK "Luna" de Realtek e tamén se están preparando parches para o SDK "Jungle" de Realtek para a súa publicación. Non hai plans para lanzar ningunha corrección para Realtek SDK 2.x, xa que o soporte para esta rama xa se suspendeu. Para todas as vulnerabilidades, ofrécense prototipos de explotación que che permiten executar o teu código no dispositivo.
Vulnerabilidades identificadas (as dúas primeiras teñen asignado un nivel de gravidade de 8.1 e o resto - 9.8):
- CVE-2021-35392 - Desbordamento de búfer nos procesos mini_upnpd e wscd que implementan a funcionalidade "WiFi Simple Config" (mini_upnpd procesa paquetes SSDP e wscd, ademais de admitir SSDP, procesa solicitudes UPnP baseadas no protocolo HTTP). Un atacante pode executar o seu código enviando solicitudes de "SUBSCRICIÓN" UPnP especialmente elaboradas cun número de porto demasiado grande no campo "Callback". SUBSCRIBE /upnp/event/WFAWLANConfig1 HTTP/1.1 Host: 192.168.100.254:52881 Devolución de chamada: NT:upnp:evento
- CVE-2021-35393 é unha vulnerabilidade nos controladores WiFi Simple Config que se produce cando se utiliza o protocolo SSDP (utiliza UDP e un formato de solicitude similar ao HTTP). O problema é causado polo uso dun búfer fixo de 512 bytes ao procesar o parámetro "ST:upnp" nas mensaxes M-SEARCH enviadas polos clientes para determinar a presenza de servizos na rede.
- CVE-2021-35394 é unha vulnerabilidade do proceso MP Daemon, que se encarga de realizar operacións de diagnóstico (ping, traceroute). O problema permite a substitución de comandos propios debido á insuficiente comprobación dos argumentos ao executar utilidades externas.
- CVE-2021-35395 é unha serie de vulnerabilidades nas interfaces web baseadas nos servidores http /bin/webs e /bin/boa. En ambos os servidores identificáronse vulnerabilidades típicas causadas pola falta de argumentos de comprobación antes de lanzar utilidades externas mediante a función system(). As diferenzas só se reducen ao uso de diferentes API para ataques. Ambos controladores non incluíron protección contra ataques CSRF e a técnica de "revinculación de DNS", que permite enviar solicitudes desde unha rede externa mentres restrinxe o acceso á interface só á rede interna. Os procesos tamén están predeterminados na conta de supervisor/supervisor predefinida. Ademais, identificáronse varios desbordamentos de pila nos controladores, que ocorren cando se envían argumentos demasiado grandes. POST /goform/formWsc HTTP/1.1 Anfitrión: 192.168.100.254 Lonxitude do contido: 129 Tipo de contido: application/x-www-form-urlencoded submit-url=%2Fwlwps.asp&resetUnCfg=0&peerPin=12345678>1tmp/config0/XNUMX; ;&setPIN=Inicio+PIN&configVxd=desactivado&resetRptUnCfg=XNUMX&peerRptPin=
- Ademais, identificáronse varias vulnerabilidades máis no proceso UDPServer. Segundo se viu, un dos problemas xa fora descuberto por outros investigadores en 2015, pero non foi completamente corrixido. O problema é causado pola falta de validación adecuada dos argumentos pasados á función system() e pódese explotar enviando unha cadea como 'orf;ls' ao porto de rede 9034. Ademais, identificouse un desbordamento do búfer en UDPServer debido ao uso inseguro da función sprintf, que tamén se pode usar para realizar ataques.
Fonte: opennet.ru