ProHoster > blog > aħbarijiet fuq l-internet > Vulnerabbiltajiet li jippermettu l-kontroll tas-swiċċijiet Cisco, Zyxel u NETGEAR fuq ċipep RTL83xx li jittieħdu f'idejhom
Vulnerabbiltajiet li jippermettu l-kontroll tas-swiċċijiet Cisco, Zyxel u NETGEAR fuq ċipep RTL83xx li jittieħdu f'idejhom
Fi swiċċijiet ibbażati fuq ċipep RTL83xx, inklużi Cisco Small Business 220, Zyxel GS1900-24, NETGEAR GS75x, ALLNET ALL-SG8208M u aktar minn tużżana apparat minn manifatturi inqas magħrufa, identifikati vulnerabbiltajiet kritiċi li jippermettu li attakkant mhux awtentikat jikseb il-kontroll tas-swiċċ. Il-problemi huma kkawżati minn żbalji fl-SDK tal-Kontrollur tal-Iswiċċ Immexxi Realtek, li l-kodiċi minnu ntuża biex jipprepara l-firmware.
L-ewwel vulnerabbiltà (CVE-2019-1913) jaffettwa l-interface tal-kontroll tal-web u jagħmilha possibbli li tesegwixxi l-kodiċi tiegħek bi privileġġi tal-utent root. Il-vulnerabbiltà hija dovuta għal validazzjoni insuffiċjenti tal-parametri forniti mill-utent u nuqqas li jiġu evalwati sew il-konfini tal-buffer meta taqra d-dejta tal-input. Bħala riżultat, attakkant jista 'jikkawża buffer overflow billi jibgħat talba maħduma apposta u jisfrutta l-problema biex jesegwixxi l-kodiċi tiegħu.
It-tieni vulnerabbiltà (CVE-2019-1912) jippermetti li fajls arbitrarji jitgħabbew fuq is-swiċċ mingħajr awtentikazzjoni, inkluż il-kitba fuq il-fajls ta 'konfigurazzjoni u t-tnedija ta' qoxra inversa għal login mill-bogħod. Il-problema hija kkawżata minn kontroll mhux komplut tal-permessi fl-interface tal-web.
Tista 'wkoll tinnota l-eliminazzjoni ta' inqas perikolużi vulnerabbiltajiet (CVE-2019-1914), li jippermetti li kmandi arbitrarji jiġu eżegwiti bi privileġġi tal-għeruq jekk ikun hemm login awtentikat mhux privileġġjat mal-interface tal-web. Il-kwistjonijiet huma solvuti fl-aġġornamenti tal-firmware ta' Cisco Small Business 220 (1.1.4.4), Zyxel, u NETGEAR. Deskrizzjoni dettaljata tal-metodi operattivi hija ppjanata tippubblika 20 Awissu.
Problemi jidhru wkoll f'apparati oħra bbażati fuq ċipep RTL83xx, iżda għadhom ma ġewx ikkonfermati mill-manifatturi u ma ġewx iffissati: