Au fost identificate patru vulnerabilități în componentele SDK-ului Realtek, care este utilizat de diverși producători de dispozitive fără fir în firmware-ul lor, care ar putea permite unui atacator neautentificat să execute de la distanță cod pe un dispozitiv cu privilegii ridicate. Potrivit estimărilor preliminare, problemele afectează cel puțin 200 de modele de dispozitive de la 65 de furnizori diferiți, inclusiv diverse modele de routere wireless Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT- Link, Netgear, Realtek, Smartlink, UPVEL, ZTE și Zyxel.
Problema acoperă diferite clase de dispozitive fără fir bazate pe SoC RTL8xxx, de la routere wireless și amplificatoare Wi-Fi până la camere IP și dispozitive inteligente de control al luminii. Dispozitivele bazate pe cipuri RTL8xxx utilizează o arhitectură care implică instalarea a două SoC-uri - primul instalează firmware-ul producătorului bazat pe Linux, iar cel de-al doilea rulează un mediu Linux separat cu implementarea funcțiilor punctului de acces. Umplerea celui de-al doilea mediu se bazează pe componente standard furnizate de Realtek în SDK. Aceste componente procesează și datele primite ca urmare a trimiterii de solicitări externe.
Vulnerabilitățile afectează produsele care utilizează Realtek SDK v2.x, Realtek „Jungle” SDK v3.0-3.4 și Realtek „Luna” SDK înainte de versiunea 1.3.2. Remedierea a fost deja lansată în actualizarea Realtek „Luna” SDK 1.3.2a, iar patch-urile pentru Realtek „Jungle” SDK sunt, de asemenea, pregătite pentru publicare. Nu există planuri de a lansa remedieri pentru Realtek SDK 2.x, deoarece suportul pentru această ramură a fost deja întrerupt. Pentru toate vulnerabilitățile, sunt furnizate prototipuri de exploatare funcționale care vă permit să executați codul pe dispozitiv.
Vulnerabilități identificate (primelor două li se atribuie un nivel de severitate de 8.1, iar restul - 9.8):
- CVE-2021-35392 - Buffer overflow în procesele mini_upnpd și wscd care implementează funcționalitatea „WiFi Simple Config” (mini_upnpd procesează pachetele SSDP, iar wscd, pe lângă suportul SSDP, procesează cererile UPnP bazate pe protocolul HTTP). Un atacator poate realiza execuția codului său trimițând cereri UPnP „SUBSCRIBE” special create cu un număr de port prea mare în câmpul „Callback”. ABONAȚI /upnp/event/WFAWLANConfig1 Gazdă HTTP/1.1: 192.168.100.254:52881 Reapelare: NT:upnp:eveniment
- CVE-2021-35393 este o vulnerabilitate în handlerele WiFi Simple Config care apare atunci când se utilizează protocolul SSDP (folosește UDP și un format de solicitare similar cu HTTP). Problema este cauzată de utilizarea unui buffer fix de 512 octeți la procesarea parametrului „ST:upnp” în mesajele M-SEARCH trimise de clienți pentru a determina prezența serviciilor în rețea.
- CVE-2021-35394 este o vulnerabilitate în procesul MP Daemon, care este responsabil pentru efectuarea operațiunilor de diagnosticare (ping, traceroute). Problema permite înlocuirea comenzilor proprii din cauza verificării insuficiente a argumentelor la executarea utilităților externe.
- CVE-2021-35395 este o serie de vulnerabilități în interfețele web bazate pe serverele http /bin/webs și /bin/boa. Pe ambele servere au fost identificate vulnerabilități tipice cauzate de lipsa argumentelor de verificare înainte de lansarea utilităților externe folosind funcția system(). Diferențele se reduc doar la utilizarea diferitelor API-uri pentru atacuri. Ambii handlere nu au inclus protecție împotriva atacurilor CSRF și tehnica „DNS rebinding”, care permite trimiterea de solicitări dintr-o rețea externă în timp ce restricționează accesul la interfață doar la rețeaua internă. Procesele au fost, de asemenea, implicite în contul de supervizor/supervizor predefinit. În plus, în handlere au fost identificate mai multe depășiri de stivă, care apar atunci când sunt trimise argumente prea mari. POST /goform/formWsc HTTP/1.1 Gazdă: 192.168.100.254 Lungimea conținutului: 129 Tipul conținutului: application/x-www-form-urlencoded submit-url=%2Fwlwps.asp&resetUnCfg=0&peerPin=12345678tmp/config1/0;ifXNUMX>XNUMX; ;&setPIN=Start+PIN&configVxd=off&resetRptUnCfg=XNUMX&peerRptPin=
- În plus, mai multe vulnerabilități au fost identificate în procesul UDPServer. După cum sa dovedit, una dintre probleme fusese deja descoperită de alți cercetători în 2015, dar nu a fost complet corectată. Problema este cauzată de lipsa validării corecte a argumentelor transmise funcției system() și poate fi exploatată prin trimiterea unui șir de caractere precum „orf;ls” la portul de rețea 9034. În plus, în UDPServer a fost identificată o depășire a memoriei tampon din cauza utilizării nesigure a funcției sprintf, care poate fi folosită și pentru a efectua atacuri.
Sursa: opennet.ru