ProHoster > blog > aħbarijiet fuq l-internet > Vulnerabbiltajiet li jippermettu l-kontroll tas-swiċċijiet Cisco, Zyxel u NETGEAR fuq ċipep RTL83xx li jittieħdu f'idejhom

Vulnerabbiltajiet li jippermettu l-kontroll tas-swiċċijiet Cisco, Zyxel u NETGEAR fuq ċipep RTL83xx li jittieħdu f'idejhom

Fi swiċċijiet ibbażati fuq ċipep RTL83xx, inklużi Cisco Small Business 220, Zyxel GS1900-24, NETGEAR GS75x, ALLNET ALL-SG8208M u aktar minn tużżana apparat minn manifatturi inqas magħrufa, identifikati vulnerabbiltajiet kritiċi li jippermettu li attakkant mhux awtentikat jikseb il-kontroll tas-swiċċ. Il-problemi huma kkawżati minn żbalji fl-SDK tal-Kontrollur tal-Iswiċċ Immexxi Realtek, li l-kodiċi minnu ntuża biex jipprepara l-firmware.

L-ewwel vulnerabbiltà (CVE-2019-1913) jaffettwa l-interface tal-kontroll tal-web u jagħmilha possibbli li tesegwixxi l-kodiċi tiegħek bi privileġġi tal-utent root. Il-vulnerabbiltà hija dovuta għal validazzjoni insuffiċjenti tal-parametri forniti mill-utent u nuqqas li jiġu evalwati sew il-konfini tal-buffer meta taqra d-dejta tal-input. Bħala riżultat, attakkant jista 'jikkawża buffer overflow billi jibgħat talba maħduma apposta u jisfrutta l-problema biex jesegwixxi l-kodiċi tiegħu.

It-tieni vulnerabbiltà (CVE-2019-1912) jippermetti li fajls arbitrarji jitgħabbew fuq is-swiċċ mingħajr awtentikazzjoni, inkluż il-kitba fuq il-fajls ta 'konfigurazzjoni u t-tnedija ta' qoxra inversa għal login mill-bogħod. Il-problema hija kkawżata minn kontroll mhux komplut tal-permessi fl-interface tal-web.

Tista 'wkoll tinnota l-eliminazzjoni ta' inqas perikolużi vulnerabbiltajiet (CVE-2019-1914), li jippermetti li kmandi arbitrarji jiġu eżegwiti bi privileġġi tal-għeruq jekk ikun hemm login awtentikat mhux privileġġjat mal-interface tal-web. Il-kwistjonijiet huma solvuti fl-aġġornamenti tal-firmware ta' Cisco Small Business 220 (1.1.4.4), Zyxel, u NETGEAR. Deskrizzjoni dettaljata tal-metodi operattivi hija ppjanata tippubblika 20 Awissu.

Problemi jidhru wkoll f'apparati oħra bbażati fuq ċipep RTL83xx, iżda għadhom ma ġewx ikkonfermati mill-manifatturi u ma ġewx iffissati:

  • EnGenius EGS2110P, EWS1200-28TFP, EWS1200-28TFP;
  • PLANET GS-4210-8P2S, GS-4210-24T2;
  • DrayTek VigorSwitch P1100;
  • CERIO CS-2424G-24P;
  • Xhome DownLoop-G24M;
  • Abaniact (INABA) AML2-PS16-17GP L2;
  • Netwerks Araknis (SnapAV) AN-310-SW-16-POE;
  • EDIMAX GS-5424PLC, GS-5424PLC;
  • Open Mesh OMS24;
  • Pakedgedevice SX-8P;
  • TG-NET P3026M-24POE.

Sors: opennet.ru

Żid kumment