ProHoster > Blog > интернет жаңылыктары > RTL83xx чиптеринин негизиндеги Cisco, Zyxel жана NETGEAR которгучтарын көзөмөлдөөгө мүмкүндүк берген аялуу

RTL83xx чиптеринин негизиндеги Cisco, Zyxel жана NETGEAR которгучтарын көзөмөлдөөгө мүмкүндүк берген аялуу

RTL83xx чиптерине негизделген өчүргүчтөр, анын ичинде Cisco Small Business 220, Zyxel GS1900-24, NETGEAR GS75x, ALLNET ALL-SG8208M жана анча белгилүү эмес өндүрүүчүлөрдүн ондон ашык түзмөктөрү, аныкталган аутентификацияланбаган чабуулчуга которгучту башкарууга мүмкүндүк берген маанилүү алсыздыктар. Көйгөйлөр Realtek Managed Switch Controller SDKдагы каталардан келип чыгат, анын коду микропрограмманы даярдоо үчүн колдонулган.

Биринчи алсыздык (CVE-2019-1913) веб-башкаруу интерфейсине таасирин тийгизет жана кодуңузду түпкү колдонуучу артыкчылыктары менен аткарууга мүмкүндүк берет. Алсыздык колдонуучу тарабынан берилген параметрлерди валидациялоонун жетишсиздигинен жана киргизилген маалыматтарды окууда буфердик чектердин туура баа берилбегендигинен келип чыгат. Натыйжада, чабуулчу атайын даярдалган суроо-талапты жөнөтүү менен буфердин толуп кетишине алып келиши мүмкүн жана кодун аткаруу үчүн көйгөйдү колдонушу мүмкүн.

Экинчи аялуу (CVE-2019-1912) ыктыярдуу файлдарды которгучка аутентификациясыз жүктөөгө мүмкүндүк берет, анын ичинде конфигурация файлдарын кайра жазуу жана алыстан кирүү үчүн тескери кабыкты ишке киргизүү. Көйгөй веб-интерфейсиндеги уруксаттардын толук текшерилбегенинен келип чыккан.

Сиз ошондой эле азыраак коркунучтуу жоюуну белгилей аласыз алсыздыктар (CVE-2019-1914), бул веб-интерфейске артыкчылыксыз аутентификацияланган логин бар болсо, ыктыярдуу буйруктарды тамыр артыкчылыктары менен аткарууга мүмкүндүк берет. Маселелер Cisco Small Business 220 (1.1.4.4), Zyxel жана NETGEAR микропрограммасынын жаңыртууларында чечилет. Иштетүү ыкмаларын толук баяндоо пландаштырылууда жарыялоо Жылдын 20.

Көйгөйлөр RTL83xx чиптерине негизделген башка түзмөктөрдө да пайда болот, бирок алар азырынча өндүрүүчүлөр тарабынан тастыктала элек жана чечиле элек:

  • EnGenius EGS2110P, EWS1200-28TFP, EWS1200-28TFP;
  • PLANET GS-4210-8P2S, GS-4210-24T2;
  • DrayTek VigorSwitch P1100;
  • CERIO CS-2424G-24P;
  • Xhome DownLoop-G24M;
  • Abaniact (INABA) AML2-PS16-17GP L2;
  • Araknis Networks (SnapAV) AN-310-SW-16-POE;
  • EDIMAX GS-5424PLC, GS-5424PLC;
  • Open Mesh OMS24;
  • Pakedgedevice SX-8P;
  • TG-NET P3026M-24POE.

Source: opennet.ru

Комментарий кошуу