Realtek SDK komponentos, ko savā programmaparatūrā izmanto dažādi bezvadu ierīču ražotāji, ir identificētas četras ievainojamības, kas var ļaut neautentificētam uzbrucējam attālināti izpildīt kodu ierīcē ar paaugstinātām privilēģijām. Pēc provizoriskiem aprēķiniem, problēmas skar vismaz 200 ierīču modeļus no 65 dažādiem piegādātājiem, tostarp dažādu modeļu bezvadu maršrutētājiem Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT- Link, Netgear, Realtek, Smartlink, UPVEL, ZTE un Zyxel.
Problēma attiecas uz dažādām bezvadu ierīču klasēm, kuru pamatā ir RTL8xxx SoC, sākot no bezvadu maršrutētājiem un Wi-Fi pastiprinātājiem līdz IP kamerām un viedajām apgaismojuma vadības ierīcēm. Ierīcēs, kuru pamatā ir RTL8xxx mikroshēmas, tiek izmantota arhitektūra, kas ietver divu SoC instalēšanu - pirmajā instalē ražotāja Linux balstītu programmaparatūru, bet otrajā darbojas atsevišķa attīrīta Linux vide ar piekļuves punkta funkciju ieviešanu. Otrās vides aizpildīšana ir balstīta uz standarta komponentiem, ko Realtek nodrošina SDK. Šie komponenti apstrādā arī datus, kas saņemti ārēju pieprasījumu nosūtīšanas rezultātā.
Ievainojamības skar produktus, kuros tiek izmantots Realtek SDK v2.x, Realtek “Jungle” SDK v3.0-3.4 un Realtek “Luna” SDK pirms versijas 1.3.2. Labojums jau ir izlaists Realtek "Luna" SDK 1.3.2a atjauninājumā, un publicēšanai tiek gatavoti arī Realtek "Jungle" SDK ielāpi. Nav plānots izlaist Realtek SDK 2.x labojumus, jo atbalsts šai nozarei jau ir pārtraukts. Visām ievainojamībām tiek nodrošināti funkcionējoši ekspluatācijas prototipi, kas ļauj ierīcē izpildīt savu kodu.
Identificētās ievainojamības (pirmajām divām ir piešķirts smaguma līmenis 8.1, bet pārējām - 9.8):
- CVE-2021-35392 — Bufera pārpilde mini_upnpd un wscd procesos, kas ievieš funkcionalitāti “WiFi Simple Config” (mini_upnpd apstrādā SSDP paketes, un wscd papildus SSDP atbalstam apstrādā UPnP pieprasījumus, pamatojoties uz HTTP protokolu). Uzbrucējs var panākt sava koda izpildi, nosūtot īpaši izstrādātus UPnP “SUBSCRIBE” pieprasījumus ar pārāk lielu porta numuru laukā “Atzvanīšana”. SUBSCRIBE /upnp/event/WFAWLANConfig1 HTTP/1.1 Host: 192.168.100.254:52881 Atzvans: NT:upnp:event
- CVE-2021-35393 ir ievainojamība WiFi vienkāršās konfigurācijas apdarinātājos, kas rodas, izmantojot SSDP protokolu (izmanto UDP un HTTP līdzīgu pieprasījuma formātu). Problēmu izraisa fiksēta 512 baitu bufera izmantošana, apstrādājot parametru "ST:upnp" M-SEARCH ziņojumos, ko sūta klienti, lai noteiktu pakalpojumu klātbūtni tīklā.
- CVE-2021-35394 ir ievainojamība MP Daemon procesā, kas ir atbildīgs par diagnostikas darbību veikšanu (ping, traceroute). Problēma ļauj aizvietot savas komandas, jo, izpildot ārējās utilītas, netiek pietiekami pārbaudīti argumenti.
- CVE-2021-35395 ir ievainojamību sērija tīmekļa saskarnēs, kuru pamatā ir http serveri /bin/webs un /bin/boa. Abos serveros tika identificētas tipiskas ievainojamības, ko izraisīja argumentu pārbaudes trūkums pirms ārējo utilītu palaišanas, izmantojot funkciju system(). Atšķirības ir saistītas tikai ar dažādu API izmantošanu uzbrukumiem. Abi apstrādātāji neietvēra aizsardzību pret CSRF uzbrukumiem un “DNS pārsaistīšanas” paņēmienu, kas ļauj nosūtīt pieprasījumus no ārēja tīkla, vienlaikus ierobežojot piekļuvi interfeisam tikai iekšējam tīklam. Procesos arī tika izmantots noklusējuma uzraugs/uzrauga konts. Turklāt apdarinātājos ir konstatētas vairākas steku pārpildes, kas rodas, ja tiek nosūtīti pārāk lieli argumenti. POST /goform/formWsc HTTP/1.1 resursdators: 192.168.100.254 Satura garums: 129 Satura veids: application/x-www-form-urlencoded submit-url=%2Fwlwps.asp&resetUnCfg=0&peerPin=12345678f1ig>0;fwlwps. ;&setPIN=Start+PIN&configVxd=off&resetRptUnCfg=XNUMX&peerRptPin=
- Turklāt UDPServer procesā ir konstatētas vēl vairākas ievainojamības. Kā izrādījās, vienu no problēmām jau 2015. gadā bija atklājuši citi pētnieki, taču tā netika pilnībā novērsta. Problēmu izraisa sistēmas() funkcijai nodoto argumentu pareizas validācijas trūkums, un to var izmantot, nosūtot virkni, piemēram, “orf;ls” uz tīkla portu 9034. Turklāt UDPServerā ir konstatēta bufera pārpilde, jo nedrošā veidā tiek izmantota funkcija sprintf, ko var izmantot arī uzbrukumu veikšanai.
Avots: opennet.ru