Er zijn vier kwetsbaarheden geïdentificeerd in componenten van de Realtek SDK, die door verschillende fabrikanten van draadloze apparaten in hun firmware wordt gebruikt, waardoor een niet-geverifieerde aanvaller op afstand code kan uitvoeren op een apparaat met verhoogde rechten. Volgens voorlopige schattingen treffen de problemen minstens 200 apparaatmodellen van 65 verschillende leveranciers, waaronder verschillende modellen draadloze routers Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT- Link, Netgear, Realtek, Smartlink, UPVEL, ZTE en Zyxel.
Het probleem heeft betrekking op verschillende klassen draadloze apparaten gebaseerd op de RTL8xxx SoC, van draadloze routers en Wi-Fi-versterkers tot IP-camera's en slimme lichtregelapparaten. Apparaten gebaseerd op RTL8xxx-chips gebruiken een architectuur die de installatie van twee SoC's omvat: de eerste installeert de Linux-gebaseerde firmware van de fabrikant, en de tweede draait een aparte, uitgeklede Linux-omgeving met de implementatie van access point-functies. De vulling van de tweede omgeving is gebaseerd op standaardcomponenten die door Realtek in de SDK worden aangeleverd. Deze componenten verwerken ook gegevens die worden ontvangen als gevolg van het verzenden van externe verzoeken.
De kwetsbaarheden zijn van invloed op producten die Realtek SDK v2.x, Realtek “Jungle” SDK v3.0-3.4 en Realtek “Luna” SDK gebruiken vóór versie 1.3.2. De oplossing is al uitgebracht in de Realtek "Luna" SDK 1.3.2a-update, en patches voor de Realtek "Jungle" SDK worden ook voorbereid voor publicatie. Er zijn geen plannen om oplossingen uit te brengen voor Realtek SDK 2.x, aangezien de ondersteuning voor deze branch al is stopgezet. Voor alle kwetsbaarheden zijn werkende exploit-prototypes beschikbaar waarmee u uw code op het apparaat kunt uitvoeren.
Geïdentificeerde kwetsbaarheden (de eerste twee krijgen een ernstniveau van 8.1 en de rest - 9.8):
- CVE-2021-35392 - Bufferoverflow in de mini_upnpd- en wscd-processen die de functionaliteit “WiFi Simple Config” implementeren (mini_upnpd verwerkt SSDP-pakketten, en wscd verwerkt, naast het ondersteunen van SSDP, UPnP-verzoeken op basis van het HTTP-protocol). Een aanvaller kan ervoor zorgen dat zijn code wordt uitgevoerd door speciaal vervaardigde UPnP “SUBSCRIBE” -verzoeken te verzenden met een te groot poortnummer in het veld “Callback”. ABONNEER /upnp/event/WFAWLANConfig1 HTTP/1.1 Host: 192.168.100.254:52881 Terugbellen: NT:upnp:gebeurtenis
- CVE-2021-35393 is een kwetsbaarheid in WiFi Simple Config-handlers die optreedt bij gebruik van het SSDP-protocol (gebruikt UDP en een verzoekformaat vergelijkbaar met HTTP). Het probleem wordt veroorzaakt door het gebruik van een vaste buffer van 512 bytes bij het verwerken van de parameter "ST:upnp" in M-SEARCH-berichten die door clients worden verzonden om de aanwezigheid van services op het netwerk te bepalen.
- CVE-2021-35394 is een kwetsbaarheid in het MP Daemon-proces, dat verantwoordelijk is voor het uitvoeren van diagnostische bewerkingen (ping, traceroute). Het probleem maakt vervanging van de eigen commando's mogelijk als gevolg van onvoldoende controle van argumenten bij het uitvoeren van externe hulpprogramma's.
- CVE-2021-35395 is een reeks kwetsbaarheden in webinterfaces gebaseerd op de http-servers /bin/webs en /bin/boa. Op beide servers werden typische kwetsbaarheden geïdentificeerd die werden veroorzaakt door het ontbreken van controleargumenten voordat externe hulpprogramma's werden gestart met behulp van de system()-functie. De verschillen komen alleen neer op het gebruik van verschillende API’s voor aanvallen. Beide handlers hadden geen bescherming tegen CSRF-aanvallen en de “DNS rebinding”-techniek, waarmee verzoeken vanaf een extern netwerk kunnen worden verzonden, terwijl de toegang tot de interface alleen tot het interne netwerk wordt beperkt. Processen werden ook standaard ingesteld op het vooraf gedefinieerde supervisor-/supervisoraccount. Bovendien zijn er in de handlers verschillende stackoverflows geïdentificeerd, die optreden wanneer te grote argumenten worden verzonden. POST /goform/formWsc HTTP/1.1 Host: 192.168.100.254 Inhoudslengte: 129 Inhoudstype: application/x-www-form-urlencoded submission-url=%2Fwlwps.asp&resetUnCfg=0&peerPin=12345678;ifconfig>/tmp/1 ;&setPIN=Start+PIN&configVxd=uit&resetRptUnCfg=0&peerRptPin=
- Bovendien zijn er nog een aantal kwetsbaarheden geïdentificeerd in het UDPServer-proces. Het bleek dat een van de problemen al in 2015 door andere onderzoekers was ontdekt, maar niet volledig was gecorrigeerd. Het probleem wordt veroorzaakt door een gebrek aan goede validatie van de argumenten die worden doorgegeven aan de system()-functie en kan worden uitgebuit door een string als 'orf;ls' naar netwerkpoort 9034 te sturen. Daarnaast is er in UDPServer een bufferoverflow geconstateerd als gevolg van onveilig gebruik van de sprintf-functie, waarmee mogelijk ook aanvallen kunnen worden uitgevoerd.
Bron: opennet.ru