Kerentanan pada perangkat berbasis Realtek SoC yang memungkinkan eksekusi kode melalui pengiriman paket UDP

Para peneliti dari Faraday Security mempresentasikan pada konferensi DEFCON rincian eksploitasi kerentanan kritis (CVE-2022-27255) dalam SDK untuk chip Realtek RTL819x, yang memungkinkan Anda mengeksekusi kode pada perangkat dengan mengirimkan paket UDP yang dirancang khusus. Kerentanan ini penting karena memungkinkan Anda menyerang perangkat yang telah menonaktifkan akses ke antarmuka web untuk jaringan eksternalβ€”untuk serangan, cukup mengirimkan satu paket UDP saja sudah cukup.

Kerentanan ini memengaruhi perangkat yang menggunakan versi Realtek SDK yang rentan, termasuk eCos RSDK 1.5.7p1 dan MSDK 4.9.4p1. Pembaruan eCos SDK yang memperbaiki kerentanan diterbitkan oleh Realtek pada 25 Maret. Belum jelas perangkat mana yang terkena dampak masalah ini - SoC Realtek RTL819x digunakan di router jaringan, titik akses, amplifier Wi-Fi, kamera IP, perangkat Internet of Things, dan perangkat jaringan lainnya dari lebih dari 60 produsen, termasuk Asus , A-Link, Beeline, Belkin , Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT-Link, Netgear, Smartlink, UPVEL, ZTE dan Zyxel.

Contoh eksploitasi untuk mendapatkan akses jarak jauh ke perangkat dan menjalankan perintah telah dipublikasikan secara publik, menggunakan contoh serangan pada router Nexxt Nebula 300 Plus. Selain itu, utilitas untuk menganalisis firmware untuk mengetahui kerentanan telah dipublikasikan.

Mengingat masalah persiapan dan pengiriman serta pembaruan firmware untuk perangkat yang sudah dirilis, serangan otomatis dan worm diperkirakan akan segera muncul yang memengaruhi perangkat jaringan yang rentan. Setelah serangan berhasil, perangkat yang terkena dampak dapat digunakan oleh penyerang, misalnya, untuk membentuk botnet, memperkenalkan pintu belakang untuk meninggalkan pintu belakang di jaringan internal perusahaan, mencegat lalu lintas transit, atau mengalihkannya ke host eksternal.

Kerentanan ini disebabkan oleh buffer overflow pada modul SIP ALG (SIP Application Layer Gateway), yang digunakan untuk mengatur penerusan paket SIP di belakang penerjemah alamat. Masalah ini disebabkan oleh kurangnya pemeriksaan ukuran sebenarnya dari data yang diterima, yang mengakibatkan penimpaan memori di luar buffer tetap ketika strcpy dipanggil saat memproses paket SIP. Serangan dapat dilakukan dengan mengirimkan paket UDP dengan nilai field yang salah di blok data SDP atau header protokol SIP. Untuk beroperasi, cukup mengirim satu paket ke port UDP sembarang pada antarmuka WAN.

Sebagai solusi perlindungan, disarankan untuk memblokir paket UDP dengan pesan SIP β€œINVITE”, string β€œm=audio” dan ukuran lebih besar dari 128 byte pada firewall atau sistem pencegahan intrusi jaringan. Contoh aturan untuk mendeteksi upaya eksploitasi di IDS Snort 3: alert udp any any -> any any (sid:1000000; \ msg: "Realtek eCOS SDK SIP Traffic Exploit CVE-2022-27255"; \ content: "invite"; depth : 6; nocase; \ konten: "m=audio "; \ isdataat: 128, relatif; konten:!"|0d|";

Sumber: opennet.ru

Beli hosting yang andal untuk situs dengan perlindungan DDoS, server VPS VDS πŸ”₯ Beli hosting website andal dengan perlindungan DDoS, server VPS VDS | ProHoster