Aptiktos keturios Realtek SDK komponentų pažeidžiamumas, kurį įvairūs belaidžių įrenginių gamintojai naudoja savo programinėje įrangoje, todėl neautentifikuotas užpuolikas gali nuotoliniu būdu vykdyti kodą įrenginyje su padidintomis privilegijomis. Preliminariais skaičiavimais, problemos paliečia mažiausiai 200 įrenginių modelių iš 65 skirtingų tiekėjų, įskaitant įvairius belaidžių maršruto parinktuvų modelius Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT- Link, Netgear, Realtek, Smartlink, UPVEL, ZTE ir Zyxel.
Problema apima įvairių klasių belaidžius įrenginius, pagrįstus RTL8xxx SoC, nuo belaidžių maršruto parinktuvų ir „Wi-Fi“ stiprintuvų iki IP kamerų ir išmaniųjų apšvietimo valdymo įrenginių. Įrenginiai, pagrįsti RTL8xxx lustais, naudoja architektūrą, kuri apima dviejų SoC įdiegimą – pirmasis įdiegia gamintojo Linux pagrindu sukurtą programinę-aparatinę įrangą, o antrasis valdo atskirą nuluptą Linux aplinką su prieigos taško funkcijomis. Antrosios aplinkos užpildymas pagrįstas standartiniais komponentais, kuriuos „Realtek“ pateikia SDK. Šie komponentai taip pat apdoroja duomenis, gautus siunčiant išorines užklausas.
Pažeidžiamumas turi įtakos produktams, kuriuose naudojamas Realtek SDK v2.x, Realtek "Jungle" SDK v3.0-3.4 ir Realtek "Luna" SDK ankstesnė versija 1.3.2. Pataisa jau išleista Realtek „Luna“ SDK 1.3.2a atnaujinime, o pataisymai Realtek „Jungle“ SDK taip pat ruošiami publikuoti. Neplanuojama išleisti jokių Realtek SDK 2.x pataisymų, nes šios šakos palaikymas jau buvo nutrauktas. Dėl visų pažeidžiamumų pateikiami veikiantys išnaudojimo prototipai, leidžiantys įrenginyje vykdyti kodą.
Nustatyti pažeidžiamumai (pirmiesiems dviems sunkumo lygis yra 8.1, o likusiems - 9.8):
- CVE-2021-35392 – Buferio perpildymas mini_upnpd ir wscd procesuose, kuriuose įdiegta „WiFi Simple Config“ funkcija (mini_upnpd apdoroja SSDP paketus, o wscd, be SSDP palaikymo, apdoroja UPnP užklausas pagal HTTP protokolą). Užpuolikas gali įvykdyti savo kodą išsiųsdamas specialiai sukurtas UPnP „SUBSCRIBE“ užklausas su per dideliu prievado numeriu „Atgalinio skambinimo“ lauke. PRENUMERUOTI /upnp/event/WFAWLANConfig1 HTTP/1.1 Priegloba: 192.168.100.254:52881 Atgalinis skambutis: NT:upnp:įvykis
- CVE-2021-35393 yra „WiFi Simple Config“ tvarkyklių pažeidžiamumas, atsirandantis naudojant SSDP protokolą (naudojamas UDP ir užklausos formatas, panašus į HTTP). Problemą sukelia fiksuoto 512 baitų buferio naudojimas apdorojant parametrą ST:upnp M-SEARCH pranešimuose, kuriuos siunčia klientai, siekiant nustatyti paslaugų buvimą tinkle.
- CVE-2021-35394 yra MP Daemon proceso, atsakingo už diagnostinių operacijų (ping, traceroute), pažeidžiamumas. Problema leidžia pakeisti savo komandas dėl nepakankamo argumentų tikrinimo vykdant išorines programas.
- CVE-2021-35395 yra žiniatinklio sąsajų pažeidžiamumų serija, pagrįsta http serveriais /bin/webs ir /bin/boa. Abiejuose serveriuose buvo identifikuoti tipiniai pažeidžiamumai, atsirandantys dėl argumentų patikrinimo trūkumo prieš paleidžiant išorines paslaugas naudojant funkciją system(). Skirtumai susiję tik su skirtingų API naudojimu atakoms. Abu tvarkytojai neįtraukė apsaugos nuo CSRF atakų ir „DNS perrišimo“ technikos, leidžiančios siųsti užklausas iš išorinio tinklo, o prieigą prie sąsajos apriboti tik vidiniu tinklu. Procesai taip pat buvo numatytieji iš anksto nustatytai prižiūrėtojo / prižiūrėtojo paskyrai. Be to, tvarkyklėse buvo nustatyti keli dėklo perpildymai, kurie atsiranda, kai siunčiami per dideli argumentai. POST /goform/formWsc HTTP/1.1 Priegloba: 192.168.100.254 Turinio ilgis: 129 Turinio tipas: application/x-www-form-urlencoded submit-url=%2Fwlwps.asp&resetUnCfg=0&peerPin=12345678f1ig>/tmp0fXNUMXig> ;&setPIN=Start+PIN&configVxd=off&resetRptUnCfg=XNUMX&peerRptPin=
- Be to, UDPServer procese buvo nustatyti dar keli pažeidžiamumai. Kaip paaiškėjo, vieną iš problemų kiti tyrinėtojai jau buvo aptikę dar 2015 m., tačiau ji nebuvo iki galo ištaisyta. Problema kyla dėl to, kad nėra tinkamo sistemos() funkcijai perduodamų argumentų patvirtinimo, todėl ja galima pasinaudoti siunčiant tokią eilutę kaip „orf;ls“ į tinklo prievadą 9034. Be to, UDPServer buvo nustatytas buferio perpildymas dėl nesaugaus sprintf funkcijos naudojimo, kuri taip pat gali būti naudojama atakoms vykdyti.
Šaltinis: opennet.ru