Négy sérülékenységet azonosítottak a különböző vezeték nélküli eszközök gyártói által firmware-ükben használt Realtek SDK összetevőiben, amelyek lehetővé teszik a nem hitelesített támadók számára, hogy távolról kódot hajtsanak végre egy emelt szintű jogosultságokkal rendelkező eszközön. Az előzetes becslések szerint a problémák 200 különböző beszállító legalább 65 eszközmodelljét érintik, köztük az Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT- különféle típusú vezeték nélküli útválasztókat. Link, Netgear, Realtek, Smartlink, UPVEL, ZTE és Zyxel.
A probléma az RTL8xxx SoC-n alapuló vezeték nélküli eszközök különböző osztályait fedi le, a vezeték nélküli útválasztóktól és Wi-Fi-erősítőktől az IP-kamerákig és az intelligens világításvezérlő eszközökig. Az RTL8xxx chipekre épülő eszközök olyan architektúrát használnak, amely két SoC telepítését foglalja magában - az első a gyártó Linux-alapú firmware-jét telepíti, a második pedig egy külön lecsupaszított Linux-környezetet futtat hozzáférési pont funkciók megvalósításával. A második környezet kitöltése a Realtek által az SDK-ban biztosított szabványos összetevőkön alapul. Ezek a komponensek a külső kérések küldésével kapott adatokat is feldolgozzák.
A biztonsági rések a Realtek SDK v2.x, Realtek „Jungle” SDK v3.0-3.4 és Realtek „Luna” SDK 1.3.2 előtti verzióját használó termékeket érintik. A javítás már megjelent a Realtek "Luna" SDK 1.3.2a frissítésében, és a Realtek "Jungle" SDK javításai is készülnek a közzétételre. Nem tervezik a Realtek SDK 2.x javításának kiadását, mivel ennek az ágnak a támogatása már megszűnt. Minden sebezhetőség esetén működő exploit prototípusok állnak rendelkezésre, amelyek lehetővé teszik a kód futtatását az eszközön.
Azonosított sebezhetőségek (az első kettőhöz 8.1-es, a többihez 9.8-as súlyossági szint tartozik):
- CVE-2021-35392 – Puffertúlcsordulás a mini_upnpd és wscd folyamatokban, amelyek megvalósítják a „WiFi Simple Config” funkciót (a mini_upnpd feldolgozza az SSDP-csomagokat, a wscd pedig az SSDP támogatása mellett az UPnP-kéréseket is a HTTP protokoll alapján dolgozza fel). A támadó úgy tudja végrehajtani kódját, hogy speciálisan kialakított UPnP „FELIRATKOZÁS” kéréseket küld túl nagy portszámmal a „Visszahívás” mezőben. ELŐFIZETÉS /upnp/event/WFAWLANConfig1 HTTP/1.1 Gazda: 192.168.100.254:52881 Visszahívás: NT:upnp:event
- A CVE-2021-35393 a WiFi Simple Config kezelők biztonsági rése, amely az SSDP protokoll használatakor fordul elő (UDP-t és a HTTP-hez hasonló kérési formátumot használ). A problémát az okozza, hogy az ügyfelek által küldött M-SEARCH üzenetekben az "ST:upnp" paraméter feldolgozása során fix 512 bájtos puffert használnak a szolgáltatások hálózaton való jelenlétének meghatározására.
- A CVE-2021-35394 a diagnosztikai műveletek (ping, traceroute) végrehajtásáért felelős MP Daemon folyamat biztonsági rése. A probléma lehetővé teszi a saját parancsok helyettesítését az argumentumok elégtelen ellenőrzése miatt külső segédprogramok végrehajtásakor.
- A CVE-2021-35395 a /bin/webs és a /bin/boa http kiszolgálókon alapuló webes felületeken található biztonsági rések sorozata. Mindkét szerveren olyan tipikus sérülékenységeket azonosítottak, amelyek az argumentumok ellenőrzésének hiánya miatt következtek be a system() függvény segítségével a külső segédprogramok elindítása előtt. A különbségek csak a különböző API-k támadásokhoz való használatában mutatkoznak meg. Mindkét kezelő nem tartalmazott védelmet a CSRF támadások ellen és a „DNS újrakötés” technikát, amely lehetővé teszi a kérések küldését külső hálózatról, miközben az interfészhez való hozzáférést csak a belső hálózatra korlátozza. A folyamatok alapértelmezés szerint is az előre meghatározott felügyelői/felügyelői fiókhoz kapcsolódnak. Ezenkívül számos veremtúlcsordulást azonosítottak a kezelőkben, amelyek túl nagy argumentumok küldésekor fordulnak elő. POST /goform/formWsc HTTP/1.1 Gazda: 192.168.100.254 Tartalom-hossz: 129 Tartalom-típus: application/x-www-form-urlencoded submit-url=%2Fwlwps.asp&resetUnCfg=0&peerPin=12345678/1 ;&setPIN=Start+PIN&configVxd=off&resetRptUnCfg=0&peerRptPin=
- Ezenkívül számos további sebezhetőséget azonosítottak az UDPServer folyamatában. Mint kiderült, az egyik problémát más kutatók már 2015-ben felfedezték, de nem sikerült teljesen kijavítani. A problémát a system() függvénynek átadott argumentumok megfelelő érvényesítésének hiánya okozza, és kihasználható egy „orf;ls” karakterlánc küldésével a 9034-es hálózati portra. Ezenkívül puffertúlcsordulást észleltek az UDPServerben a sprintf függvény nem biztonságos használata miatt, amely támadások végrehajtására is használható.
Forrás: opennet.ru