Quatro vulnerabilidades foram identificadas em componentes do Realtek SDK, que é usado por vários fabricantes de dispositivos sem fio em seu firmware, que podem permitir que um invasor não autenticado execute remotamente código em um dispositivo com privilégios elevados. De acordo com estimativas preliminares, os problemas afetam pelo menos 200 modelos de dispositivos de 65 fornecedores diferentes, incluindo vários modelos de roteadores sem fio Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT- Link, Netgear, Realtek, Smartlink, UPVEL, ZTE e Zyxel.
O problema abrange várias classes de dispositivos sem fio baseados no SoC RTL8xxx, desde roteadores sem fio e amplificadores Wi-Fi até câmeras IP e dispositivos inteligentes de controle de iluminação. Dispositivos baseados em chips RTL8xxx usam uma arquitetura que envolve a instalação de dois SoCs - o primeiro instala o firmware baseado em Linux do fabricante e o segundo executa um ambiente Linux simplificado separado com a implementação de funções de ponto de acesso. O preenchimento do segundo ambiente é baseado em componentes padrão fornecidos pela Realtek no SDK. Esses componentes também processam dados recebidos como resultado do envio de solicitações externas.
As vulnerabilidades afetam produtos que usam Realtek SDK v2.x, Realtek “Jungle” SDK v3.0-3.4 e Realtek “Luna” SDK antes da versão 1.3.2. A correção já foi lançada na atualização Realtek “Luna” SDK 1.3.2a, e patches para o Realtek “Jungle” SDK também estão sendo preparados para publicação. Não há planos de lançar nenhuma correção para o Realtek SDK 2.x, uma vez que o suporte para esta ramificação já foi descontinuado. Para todas as vulnerabilidades, são fornecidos protótipos de exploração funcionais que permitem executar seu código no dispositivo.
Vulnerabilidades identificadas (as duas primeiras recebem um nível de gravidade de 8.1 e as demais - 9.8):
- CVE-2021-35392 - Buffer overflow nos processos mini_upnpd e wscd que implementam a funcionalidade “WiFi Simple Config” (mini_upnpd processa pacotes SSDP, e wscd, além de suportar SSDP, processa solicitações UPnP baseadas no protocolo HTTP). Um invasor pode executar seu código enviando solicitações UPnP “SUBSCRIBE” especialmente criadas com um número de porta muito grande no campo “Callback”. ASSINAR /upnp/event/WFAWLANConfig1 Host HTTP/1.1: 192.168.100.254:52881 Retorno de chamada: NT:upnp:evento
- CVE-2021-35393 é uma vulnerabilidade em manipuladores WiFi Simple Config que ocorre ao usar o protocolo SSDP (usa UDP e um formato de solicitação semelhante ao HTTP). O problema é causado pela utilização de um buffer fixo de 512 bytes no processamento do parâmetro "ST:upnp" nas mensagens M-SEARCH enviadas pelos clientes para determinar a presença de serviços na rede.
- CVE-2021-35394 é uma vulnerabilidade no processo MP Daemon, responsável por realizar operações de diagnóstico (ping, traceroute). O problema permite a substituição de comandos próprios devido à verificação insuficiente de argumentos ao executar utilitários externos.
- CVE-2021-35395 é uma série de vulnerabilidades em interfaces web baseadas nos servidores http /bin/webs e /bin/boa. Vulnerabilidades típicas causadas pela falta de verificação de argumentos antes de iniciar utilitários externos usando a função system() foram identificadas em ambos os servidores. As diferenças se resumem apenas ao uso de APIs diferentes para ataques. Ambos os manipuladores não incluíam proteção contra ataques CSRF e a técnica “DNS rebinding”, que permite o envio de solicitações de uma rede externa enquanto restringe o acesso à interface apenas à rede interna. Os processos também assumiram como padrão a conta de supervisor/supervisor predefinida. Além disso, foram identificados vários stack overflows nos manipuladores, que ocorrem quando argumentos muito grandes são enviados. POST /goform/formWsc HTTP/1.1 Host: 192.168.100.254 Comprimento do conteúdo: 129 Tipo de conteúdo: application/x-www-form-urlencoded submit-url=%2Fwlwps.asp&resetUnCfg=0&peerPin=12345678;ifconfig>/tmp/1 ;&setPIN=Iniciar+PIN&configVxd=off&resetRptUnCfg=0&peerRptPin=
- Além disso, várias outras vulnerabilidades foram identificadas no processo UDPServer. Acontece que um dos problemas já havia sido descoberto por outros pesquisadores em 2015, mas não foi totalmente corrigido. O problema é causado pela falta de validação adequada dos argumentos passados para a função system() e pode ser explorado enviando uma string como 'orf;ls' para a porta de rede 9034. Além disso, foi identificado um buffer overflow no UDPServer devido ao uso inseguro da função sprintf, que também pode ser potencialmente usada para realizar ataques.
Fonte: opennet.ru