Ар кандай зымсыз аппаратты өндүрүүчүлөр өздөрүнүн микропрограммаларында колдонгон Realtek SDK компоненттеринде төрт алсыздык аныкталды, алар аутентификацияланбаган чабуулчуга жогорку артыкчылыктары бар түзмөктө кодду алыстан аткарууга мүмкүндүк берет. Алдын ала эсептөөлөр боюнча, көйгөйлөр 200 түрдүү жеткирүүчүлөрдүн, анын ичинде Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT- зымсыз роутерлердин ар кандай моделдеринин кеминде 65 түзмөк моделине таасирин тийгизет. Link, Netgear, Realtek, Smartlink, UPVEL, ZTE жана Zyxel.
Көйгөй зымсыз роутерлерден жана Wi-Fi күчөткүчтөрүнөн баштап IP камераларына жана акылдуу жарыкты башкаруу түзүлүштөрүнө чейин RTL8xxx SoC негизиндеги зымсыз түзүлүштөрдүн ар кандай класстарын камтыйт. RTL8xxx чиптерине негизделген түзмөктөр эки SoC орнотууну камтыган архитектураны колдонушат - биринчиси өндүрүүчүнүн Linux негизиндеги микропрограммасын орнотот, ал эми экинчиси кирүү чекитинин функцияларын ишке ашыруу менен өзүнчө ажыратылган Linux чөйрөсүн иштетет. Экинчи чөйрөнү толтуруу SDKда Realtek тарабынан берилген стандарттык компоненттерге негизделген. Бул компоненттер тышкы суроо-талаптарды жөнөтүүнүн натыйжасында алынган маалыматтарды да иштетишет.
Абалдар Realtek SDK v2.x, Realtek “Jungle” SDK v3.0-3.4 жана Realtek “Luna” SDK 1.3.2 версиясын колдонгон өнүмдөрүнө таасирин тийгизет. Түзөтүү мурунтан эле Realtek "Luna" SDK 1.3.2a жаңыртуусунда чыгарылган жана Realtek "Jungle" SDK үчүн патчтар да жарыялоого даярдалууда. Realtek SDK 2.x үчүн эч кандай оңдоолорду чыгаруу пландары жок, анткени бул филиалды колдоо буга чейин токтотулган. Бардык алсыздыктар үчүн, сиздин кодду түзмөктө аткарууга мүмкүндүк берүүчү иштеп жаткан эксплоиттин прототиптери берилет.
Аныкталган алсыздыктар (биринчи экөөнө 8.1 оордук деңгээли ыйгарылат, калгандары - 9.8):
- CVE-2021-35392 - “WiFi Simple Config” функциясын ишке ашырган mini_upnpd жана wscd процесстериндеги буфердин толуп кетиши (mini_upnpd SSDP пакеттерин иштетет, ал эми wscd SSDP колдоодон тышкары HTTP протоколунун негизинде UPnP сурамдарын иштеп чыгат). Чабуулчу "Кайра чалуу" талаасында өтө чоң порт номери менен атайын иштелип чыккан UPnP "ЖАЗЫЛУУ" суроо-талаптарын жөнөтүү аркылуу өз кодунун аткарылышына жетише алат. SUBSCRIBE /upnp/event/WFAWLANConfig1 HTTP/1.1 Хост: 192.168.100.254:52881 Кайра чалуу: NT:upnp:окуя
- CVE-2021-35393 — SSDP протоколун (UDP жана HTTP окшош суроо форматын колдонот) колдонууда пайда болгон WiFi Simple Config иштеткичтериндеги аялуу. Маселе тармакта кызматтардын бар экендигин аныктоо үчүн кардарлар тарабынан жөнөтүлгөн M-SEARCH билдирүүлөрүндө "ST:upnp" параметрин иштетүүдө 512 байттан турган туруктуу буферди колдонуудан келип чыккан.
- CVE-2021-35394 - диагностикалык операцияларды (ping, traceroute) аткаруу үчүн жооптуу болгон MP Daemon процессиндеги аялуу. Маселе тышкы утилиталарды аткарууда аргументтердин жетишсиз текшерүүсүнөн улам өз буйруктарын алмаштырууга мүмкүндүк берет.
- CVE-2021-35395 - /bin/webs жана /bin/boa http серверлерине негизделген веб-интерфейстердин бир катар кемчиликтери. Эки серверде тең system() функциясын колдонуу менен тышкы утилиталарды ишке киргизүүдөн мурун аргументтерди текшерүүнүн жоктугунан келип чыккан типтүү алсыздыктар аныкталган. Айырмачылыктар чабуулдар үчүн ар кандай API'лерди колдонууга гана байланыштуу. Эки иштетүүчү тең CSRF чабуулдарынан коргоону жана тышкы тармактан суроо-талаптарды жөнөтүүгө мүмкүндүк берген “DNS кайра байланыштыруу” техникасын камтыган эмес, ал эми интерфейске ички тармакка гана кирүүнү чектеген. Процесстер алдын ала аныкталган супервайзер/жетекчинин эсебине демейки болуп калды. Кошумчалай кетсек, иштеткичтерде өтө чоң аргументтер жөнөтүлгөндө пайда болгон бир нече стек толуп кетүүлөрү аныкталган. POST /goform/formWsc HTTP/1.1 Хост: 192.168.100.254 Мазмундун узундугу: 129 Мазмундун түрү: application/x-www-form-urlencoded submit-url=%2Fwlwps.asp&resetUnCfg=0&peerPin12345678/1; ;&setPIN=Start+PIN&configVxd=off&resetRptUnCfg=0&peerRptPin=
- Мындан тышкары, UDPServer процессинде дагы бир нече алсыздыктар аныкталган. Маалым болгондой, көйгөйлөрдүн бири 2015-жылы башка изилдөөчүлөр тарабынан ачылган, бирок толук оңдолгон эмес. Көйгөй system() функциясына берилген аргументтердин туура валидацияланбагандыгынан келип чыгат жана аны "orf;ls" сыяктуу сапты 9034 тармак портуна жөнөтүү аркылуу колдонсо болот. Кошумчалай кетсек, UDPServerде sprintf функциясын кооптуу колдонуудан улам буфердин толуп кетиши аныкталды, ал чабуулдарды ишке ашыруу үчүн да колдонулушу мүмкүн.
Source: opennet.ru