Realtek SDK의 취약점으로 인해 65개 제조업체의 장치에서 문제가 발생했습니다.

다양한 무선 장치 제조업체의 펌웨어에 사용되는 Realtek SDK의 구성 요소에서 인증되지 않은 공격자가 높은 권한으로 장치에서 원격으로 코드를 실행할 수 있는 200가지 취약점이 확인되었습니다. 예비 추산에 따르면 이 문제는 Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT-의 다양한 무선 라우터 모델을 포함하여 65개 공급업체의 최소 XNUMX개 장치 모델에 영향을 미칩니다. Link, Netgear, Realtek, Smartlink, UPVEL, ZTE 및 Zyxel.

이 문제는 무선 라우터 및 Wi-Fi 증폭기부터 IP 카메라 및 스마트 조명 제어 장치에 이르기까지 RTL8xxx SoC를 기반으로 하는 다양한 종류의 무선 장치에 적용됩니다. RTL8xxx 칩 기반 장치는 두 개의 SoC 설치와 관련된 아키텍처를 사용합니다. 첫 번째 SoC는 제조업체의 Linux 기반 펌웨어를 설치하고 두 번째 SoC는 액세스 포인트 기능 구현을 통해 별도의 간단한 Linux 환경을 실행합니다. 두 번째 환경 채우기는 SDK에서 Realtek이 제공하는 표준 구성 요소를 기반으로 합니다. 이러한 구성 요소는 외부 요청 전송의 결과로 수신된 데이터도 처리합니다.

이 취약점은 Realtek SDK v2.x, Realtek “Jungle” SDK v3.0-3.4 및 Realtek “Luna” SDK 버전 1.3.2 이전을 사용하는 제품에 영향을 미칩니다. 수정 사항은 이미 Realtek "Luna" SDK 1.3.2a 업데이트에서 릴리스되었으며 Realtek "Jungle" SDK용 패치도 게시 준비 중입니다. Realtek SDK 2.x에 대한 수정 사항을 릴리스할 계획은 없습니다. 이 분기에 대한 지원이 이미 중단되었기 때문입니다. 모든 취약점에 대해 장치에서 코드를 실행할 수 있도록 작동하는 익스플로잇 프로토타입이 제공됩니다.

확인된 취약점(처음 두 개에는 심각도 수준 8.1이 할당되고 나머지에는 9.8이 할당됨):

• CVE-2021-35392 - "WiFi Simple Config" 기능을 구현하는 mini_upnpd 및 wscd 프로세스에서 버퍼 오버플로가 발생합니다(mini_upnpd는 SSDP 패킷을 처리하고 wscd는 SSDP 지원 외에도 HTTP 프로토콜을 기반으로 UPnP 요청을 처리합니다). 공격자는 "콜백" 필드에 너무 큰 포트 번호를 포함하여 특별히 제작된 UPnP "SUBSCRIBE" 요청을 보내 코드를 실행할 수 있습니다. 구독 /upnp/event/WFAWLANConfig1 HTTP/1.1 호스트: 192.168.100.254:52881 콜백: NT:upnp:이벤트
• CVE-2021-35393은 SSDP 프로토콜(UDP 및 HTTP와 유사한 요청 형식 사용)을 사용할 때 발생하는 WiFi 단순 구성 핸들러의 취약점입니다. 이 문제는 네트워크에 서비스가 있는지 확인하기 위해 클라이언트가 보낸 M-SEARCH 메시지의 "ST:upnp" 매개변수를 처리할 때 512바이트의 고정 버퍼를 사용하기 때문에 발생합니다.
• CVE-2021-35394는 진단 작업(ping, 경로 추적) 수행을 담당하는 MP 데몬 프로세스의 취약점입니다. 이 문제는 외부 유틸리티를 실행할 때 인수 확인이 충분하지 않아 자신의 명령을 대체하는 것을 허용합니다.
• CVE-2021-35395는 http 서버 /bin/webs 및 /bin/boa를 기반으로 하는 웹 인터페이스의 일련의 취약점입니다. system() 함수를 사용하여 외부 유틸리티를 시작하기 전에 인수를 확인하지 않아 발생하는 일반적인 취약점이 두 서버 모두에서 확인되었습니다. 차이점은 공격에 서로 다른 API를 사용하는 경우에만 나타납니다. 두 핸들러 모두 CSRF 공격에 대한 보호 기능과 인터페이스에 대한 액세스를 내부 네트워크로만 제한하면서 외부 네트워크에서 요청을 보낼 수 있는 "DNS 리바인딩" 기술이 포함되어 있지 않습니다. 또한 프로세스는 사전 정의된 감독자/감독자 계정으로 기본 설정되었습니다. 또한 너무 큰 인수가 전송될 때 발생하는 여러 스택 오버플로가 핸들러에서 확인되었습니다. POST /goform/formWsc HTTP/1.1 호스트: 192.168.100.254 콘텐츠 길이: 129 콘텐츠 유형: application/x-www-form-urlencoded submit-url=%2Fwlwps.asp&resetUnCfg=0&peerPin=12345678;ifconfig>/tmp/1 ;&setPIN=시작+PIN&configVxd=off&resetRptUnCfg=0&peerRptPin=
• 또한 UDPServer 프로세스에서 몇 가지 취약점이 더 발견되었습니다. 알고 보니 문제 중 하나는 이미 2015년에 다른 연구자들이 발견했지만 완전히 수정되지는 않았습니다. 이 문제는 system() 함수에 전달된 인수에 대한 적절한 유효성 검사가 부족하여 발생하며 'orf;ls'와 같은 문자열을 네트워크 포트 9034로 보내 악용할 수 있습니다. 또한 sprintf 함수의 안전하지 않은 사용으로 인해 UDPServer에서 버퍼 오버플로가 확인되었으며, 이는 잠재적으로 공격을 수행하는 데 사용될 수도 있습니다.

출처 : opennet.ru