さまざまなワイヤレス デバイス メーカーが自社のファームウェアで使用している Realtek SDK のコンポーネントに 200 つの脆弱性が確認されており、認証されていない攻撃者が昇格した権限でデバイス上でリモートからコードを実行できる可能性があります。暫定的な推定によると、この問題は、Asus、A-Link、Beeline、Belkin、Buffalo、D-Link、Edison、Huawei、LG、Logitec、MT のさまざまなモデルのワイヤレス ルーターを含む、65 社の異なるサプライヤーの少なくとも XNUMX のデバイス モデルに影響を及ぼします。 Link、Netgear、Realtek、Smartlink、UPVEL、ZTE、Zyxel。
この問題は、ワイヤレス ルーターや Wi-Fi アンプから IP カメラやスマート照明制御デバイスに至るまで、RTL8xxx SoC に基づくさまざまなクラスのワイヤレス デバイスをカバーしています。 RTL8xxx チップに基づくデバイスは、XNUMX つの SoC のインストールを含むアーキテクチャを使用します。最初の SoC はメーカーの Linux ベースのファームウェアをインストールし、XNUMX 番目の SoC はアクセス ポイント機能を実装した別の必要最低限の Linux 環境を実行します。 XNUMX 番目の環境の充填は、Realtek が SDK で提供する標準コンポーネントに基づいています。これらのコンポーネントは、外部リクエストを送信した結果として受信したデータも処理します。
この脆弱性は、Realtek SDK v2.x、Realtek “Jungle” SDK v3.0 ~ 3.4、バージョン 1.3.2 より前の Realtek “Luna” SDK を使用する製品に影響します。この修正はすでに Realtek "Luna" SDK 1.3.2a アップデートでリリースされており、Realtek "Jungle" SDK 用のパッチも公開に向けて準備されています。 Realtek SDK 2.x のサポートはすでに終了しているため、Realtek SDK XNUMX.x の修正プログラムをリリースする予定はありません。すべての脆弱性に対して、デバイス上でコードを実行できるようにする実用的なエクスプロイト プロトタイプが提供されています。
特定された脆弱性 (最初の 8.1 つは重大度レベル 9.8、残りは XNUMX に割り当てられます):
- CVE-2021-35392 - 「WiFi Simple Config」機能を実装する mini_upnpd および wscd プロセスでのバッファ オーバーフロー (mini_upnpd は SSDP パケットを処理し、wscd は、SSDP のサポートに加えて、HTTP プロトコルに基づいて UPnP リクエストを処理します)。攻撃者は、「コールバック」フィールドに大きすぎるポート番号を指定して特別に作成した UPnP「SUBSCRIBE」リクエストを送信することでコードを実行できます。 SUBSCRIBE /upnp/event/WFAWLANConfig1 HTTP/1.1 ホスト: 192.168.100.254:52881 コールバック: NT:upnp:イベント
- CVE-2021-35393 は、SSDP プロトコル (UDP と HTTP に似た要求形式を使用) を使用するときに発生する WiFi Simple Config ハンドラーの脆弱性です。この問題は、ネットワーク上のサービスの存在を判断するためにクライアントから送信された M-SEARCH メッセージの「ST:upnp」パラメータを処理するときに、512 バイトの固定バッファが使用されることが原因で発生します。
- CVE-2021-35394 は、診断操作 (ping、traceroute) の実行を担当する MP デーモン プロセスの脆弱性です。この問題により、外部ユーティリティを実行する際の引数のチェックが不十分なため、独自のコマンドが置き換えられる可能性があります。
- CVE-2021-35395 は、http サーバー /bin/webs および /bin/boa に基づく Web インターフェイスにおける一連の脆弱性です。 system() 関数を使用して外部ユーティリティを起動する前に引数をチェックしないことによって引き起こされる典型的な脆弱性が両方のサーバーで確認されました。違いは、攻撃に異なる API を使用することだけです。どちらのハンドラーにも、CSRF 攻撃に対する保護と、インターフェイスへのアクセスを内部ネットワークのみに制限しながら、外部ネットワークからのリクエストの送信を可能にする「DNS リバインド」技術は含まれていませんでした。プロセスも、デフォルトで事前定義されたスーパーバイザー/スーパーバイザー アカウントに設定されます。さらに、ハンドラー内でいくつかのスタック オーバーフローが確認されています。これは、大きすぎる引数が送信されたときに発生します。 POST /goform/formWsc HTTP/1.1 ホスト: 192.168.100.254 コンテンツの長さ: 129 コンテンツ タイプ: application/x-www-form-urlencoded submit-url=%2Fwlwps.asp&resetUnCfg=0&peerPin=12345678;ifconfig>/tmp/1 ;&setPIN=スタート+PIN&configVxd=off&resetRptUnCfg=0&peerRptPin=
- さらに、UDPServer プロセスでさらにいくつかの脆弱性が確認されています。結局のところ、問題の 2015 つは 9034 年に他の研究者によってすでに発見されていましたが、完全には修正されていませんでした。この問題は、system() 関数に渡される引数が適切に検証されていないことが原因であり、「orf;ls」のような文字列をネットワーク ポート XNUMX に送信することで悪用される可能性があります。さらに、sprintf 関数の安全でない使用によるバッファ オーバーフローが UDPServer で確認されており、これも攻撃の実行に使用される可能性があります。
出所: オープンネット.ru