Sono state identificate quattro vulnerabilità nei componenti dell'SDK Realtek, utilizzato da vari produttori di dispositivi wireless nel loro firmware, che potrebbero consentire a un utente malintenzionato non autenticato di eseguire in remoto codice su un dispositivo con privilegi elevati. Secondo le stime preliminari, i problemi riguardano almeno 200 modelli di dispositivi di 65 diversi fornitori, tra cui diversi modelli di router wireless Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT- Link, Netgear, Realtek, Smartlink, UPVEL, ZTE e Zyxel.
Il problema riguarda varie classi di dispositivi wireless basati sul SoC RTL8xxx, dai router wireless e amplificatori Wi-Fi alle telecamere IP e ai dispositivi di controllo intelligente dell'illuminazione. I dispositivi basati su chip RTL8xxx utilizzano un'architettura che prevede l'installazione di due SoC: il primo installa il firmware basato su Linux del produttore e il secondo esegue un ambiente Linux ridotto e separato con l'implementazione delle funzioni del punto di accesso. Il riempimento del secondo ambiente si basa su componenti standard forniti da Realtek nell'SDK. Queste componenti trattano anche i dati ricevuti a seguito dell'invio di richieste esterne.
Le vulnerabilità interessano i prodotti che utilizzano Realtek SDK v2.x, Realtek “Jungle” SDK v3.0-3.4 e Realtek “Luna” SDK prima della versione 1.3.2. La correzione è già stata rilasciata nell'aggiornamento Realtek "Luna" SDK 1.3.2a e sono in preparazione per la pubblicazione anche le patch per Realtek "Jungle" SDK. Non è previsto il rilascio di correzioni per Realtek SDK 2.x, poiché il supporto per questo ramo è già stato interrotto. Per tutte le vulnerabilità vengono forniti prototipi di exploit funzionanti che consentono di eseguire il codice sul dispositivo.
Vulnerabilità identificate (ai primi due viene assegnato un livello di gravità di 8.1 e il resto - 9.8):
- CVE-2021-35392 - Overflow del buffer nei processi mini_upnpd e wscd che implementano la funzionalità "WiFi Simple Config" (mini_upnpd elabora i pacchetti SSDP e wscd, oltre a supportare SSDP, elabora le richieste UPnP in base al protocollo HTTP). Un utente malintenzionato può ottenere l'esecuzione del proprio codice inviando richieste UPnP "SUBSCRIBE" appositamente predisposte con un numero di porta troppo grande nel campo "Callback". ISCRIVITI /upnp/event/WFAWLANConfig1 HTTP/1.1 Host: 192.168.100.254:52881 Richiamata: NT:upnp:evento
- CVE-2021-35393 è una vulnerabilità nei gestori WiFi Simple Config che si verifica quando si utilizza il protocollo SSDP (utilizza UDP e un formato di richiesta simile a HTTP). Il problema è causato dall'utilizzo di un buffer fisso di 512 byte durante l'elaborazione del parametro "ST:upnp" nei messaggi M-SEARCH inviati dai client per determinare la presenza di servizi sulla rete.
- CVE-2021-35394 è una vulnerabilità nel processo MP Daemon, che è responsabile dell'esecuzione di operazioni diagnostiche (ping, traceroute). Il problema consente la sostituzione dei propri comandi a causa di un controllo insufficiente degli argomenti durante l'esecuzione di utilità esterne.
- CVE-2021-35395 è una serie di vulnerabilità nelle interfacce web basate sui server http /bin/webs e /bin/boa. In entrambi i server sono state identificate le tipiche vulnerabilità causate dalla mancanza di argomenti di controllo prima di avviare utilità esterne utilizzando la funzione system(). Le differenze si riducono solo all'uso di API diverse per gli attacchi. Entrambi i gestori non includevano la protezione contro gli attacchi CSRF e la tecnica “DNS rebinding”, che consente di inviare richieste da una rete esterna limitando l’accesso all’interfaccia solo alla rete interna. Anche i processi vengono impostati automaticamente sull'account supervisore/supervisore predefinito. Inoltre, nei gestori sono stati identificati diversi overflow dello stack, che si verificano quando vengono inviati argomenti troppo grandi. POST /goform/formWsc HTTP/1.1 Host: 192.168.100.254 Lunghezza contenuto: 129 Tipo contenuto: application/x-www-form-urlencoded submission-url=%2Fwlwps.asp&resetUnCfg=0&peerPin=12345678;ifconfig>/tmp/1 ;&setPIN=Start+PIN&configVxd=off&resetRptUnCfg=0&peerRptPin=
- Inoltre, sono state identificate molte altre vulnerabilità nel processo UDPServer. Come si è scoperto, uno dei problemi era già stato scoperto da altri ricercatori nel 2015, ma non è stato completamente risolto. Il problema è causato dalla mancanza di un'adeguata convalida degli argomenti passati alla funzione system() e può essere sfruttato inviando una stringa come "orf;ls" alla porta di rete 9034. Inoltre in UDPServer è stato riscontrato un buffer overflow dovuto all'utilizzo non sicuro della funzione sprintf, che potenzialmente può essere utilizzata anche per sferrare attacchi.
Fonte: opennet.ru