Չորս խոցելիություն են հայտնաբերվել Realtek SDK-ի բաղադրիչներում, որոնք օգտագործվում են տարբեր անլար սարքեր արտադրողների կողմից իրենց որոնվածում, որոնք կարող են թույլ տալ չհաստատված հարձակվողին հեռակա կարգով կատարել կոդը բարձր արտոնություններ ունեցող սարքի վրա: Նախնական գնահատականներով՝ խնդիրներն առնչվում են 200 տարբեր մատակարարների առնվազն 65 սարքերի մոդելների վրա, այդ թվում՝ Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT- անլար երթուղիչների տարբեր մոդելներ: Link, Netgear, Realtek, Smartlink, UPVEL, ZTE և Zyxel:
Խնդիրն ընդգրկում է RTL8xxx SoC-ի վրա հիմնված անլար սարքերի տարբեր դասեր՝ անլար երթուղիչներից և Wi-Fi ուժեղացուցիչներից մինչև IP տեսախցիկներ և խելացի լուսավորության կառավարման սարքեր: RTL8xxx չիպերի վրա հիմնված սարքերը օգտագործում են ճարտարապետություն, որը ներառում է երկու SoC-ների տեղադրում. առաջինը տեղադրում է արտադրողի Linux-ի վրա հիմնված որոնվածը, իսկ երկրորդը գործարկում է առանձին հանված Linux միջավայր՝ մուտքի կետի գործառույթների ներդրմամբ: Երկրորդ միջավայրի լրացումը հիմնված է SDK-ում Realtek-ի կողմից տրամադրված ստանդարտ բաղադրիչների վրա: Այս բաղադրիչները նաև մշակում են արտաքին հարցումներ ուղարկելու արդյունքում ստացված տվյալները:
Խոցելիությունը ազդում է այն ապրանքների վրա, որոնք օգտագործում են Realtek SDK v2.x, Realtek “Jungle” SDK v3.0-3.4 և Realtek “Luna” SDK-ն մինչև 1.3.2 տարբերակը: Ֆիքսումն արդեն թողարկվել է Realtek «Luna» SDK 1.3.2a թարմացումում, իսկ Realtek «Jungle» SDK-ի համար նախատեսված պատչերը նույնպես պատրաստվում են հրապարակման։ Realtek SDK 2.x-ի համար որևէ ուղղում թողարկել չի նախատեսվում, քանի որ այս մասնաճյուղի աջակցությունն արդեն դադարեցվել է: Բոլոր խոցելիությունների դեպքում տրամադրվում են աշխատանքային շահագործման նախատիպեր, որոնք թույլ են տալիս կատարել ձեր կոդը սարքի վրա:
Հայտնաբերված խոցելիությունները (առաջին երկուսին նշանակվում է 8.1 խստության մակարդակ, իսկ մնացածներինը՝ 9.8).
- CVE-2021-35392 - Բուֆերային արտահոսք mini_upnpd և wscd գործընթացներում, որոնք իրականացնում են «WiFi Simple Config» գործառույթը (mini_upnpd-ը մշակում է SSDP փաթեթները, իսկ wscd-ը, բացի SSDP-ին աջակցելուց, մշակում է UPnP հարցումները՝ հիմնված HTTP արձանագրության վրա): Հարձակվողը կարող է հասնել իր կոդի կատարմանը՝ ուղարկելով հատուկ մշակված UPnP «ԲԱԺԱՆՈՐԴԱԳՐՎԵԼ» հարցումներ՝ չափազանց մեծ պորտի համարով «Callback» դաշտում: ԲԱԺԱՆՈՐԴԱԳՐՎԵԼ /upnp/event/WFAWLANConfig1 HTTP/1.1 Հաղորդավար՝ 192.168.100.254:52881 Հետադարձ զանգ՝ <http://192.168.100.2:36657AAAAAA*AAAAAAA/ServiceNTeProxy0p:
- CVE-2021-35393-ը WiFi Simple Config մշակիչներում խոցելիություն է, որն առաջանում է SSDP արձանագրությունն օգտագործելիս (օգտագործում է UDP և HTTP-ին նման հարցման ձևաչափ): Խնդիրն առաջացել է 512 բայթ ֆիքսված բուֆերի օգտագործման պատճառով M-SEARCH հաղորդագրություններում «ST:upnp» պարամետրը մշակելիս, որոնք ուղարկվում են հաճախորդների կողմից՝ ցանցում ծառայությունների առկայությունը որոշելու համար:
- CVE-2021-35394-ը խոցելիություն է MP Daemon գործընթացում, որը պատասխանատու է ախտորոշիչ գործողությունների կատարման համար (ping, traceroute): Խնդիրը թույլ է տալիս փոխարինել սեփական հրամանները՝ արտաքին կոմունալ ծառայություններն իրականացնելիս փաստարկների անբավարար ստուգման պատճառով:
- CVE-2021-35395-ը խոցելիությունների շարք է վեբ ինտերֆեյսներում, որոնք հիմնված են http սերվերների /bin/webs-ի և /bin/boa-ի վրա: Երկու սերվերներում էլ հայտնաբերվել են տիպիկ խոցելիություններ, որոնք առաջացել են ստուգման փաստարկների բացակայության պատճառով՝ նախքան system() ֆունկցիան օգտագործող արտաքին կոմունալ ծրագրերի գործարկումը: Տարբերությունները կապված են միայն հարձակումների համար տարբեր API-ների օգտագործման հետ: Երկու մշակողները չեն ներառում պաշտպանություն CSRF հարձակումներից և «DNS rebinding» տեխնիկան, որը թույլ է տալիս հարցումներ ուղարկել արտաքին ցանցից՝ սահմանափակելով մուտքը դեպի ինտերֆեյս միայն ներքին ցանցին: Գործընթացները նաև լռելյայն են եղել նախապես սահմանված վերահսկիչի/վերստուգողի հաշվին: Բացի այդ, կարգավորիչներում հայտնաբերվել են մի քանի կույտերի արտահոսքեր, որոնք տեղի են ունենում, երբ ուղարկվում են չափազանց մեծ փաստարկներ: POST /goform/formWsc HTTP/1.1 Հոսթ՝ 192.168.100.254 Բովանդակություն-Տևողություն՝ 129 Բովանդակություն-Տեսակ՝ դիմում/x-www-form-urlencoded submit-url=%2Fwlwps.asp&resetUnCfg=0/12345678mpif; ;&setPIN=Սկսել+PIN&configVxd=անջատել&resetRptUnCfg=1&peerRptPin=
- Բացի այդ, մի քանի այլ խոցելիություններ են հայտնաբերվել UDPServer գործընթացում: Ինչպես պարզվեց, խնդիրներից մեկն արդեն հայտնաբերվել էր այլ հետազոտողների կողմից դեռևս 2015 թվականին, բայց ամբողջությամբ չշտկվեց։ Խնդիրն առաջանում է system() ֆունկցիային փոխանցված արգումենտների պատշաճ վավերացման բացակայության պատճառով և կարող է շահագործվել՝ ուղարկելով «orf;ls» նման տող ցանցի 9034 պորտին: Բացի այդ, UDPServer-ում հայտնաբերվել է բուֆերային արտահոսք՝ sprintf ֆունկցիայի անապահով օգտագործման պատճառով, որը նույնպես կարող է օգտագործվել հարձակումներ իրականացնելու համար:
Source: opennet.ru