V komponentah kompleta Realtek SDK, ki ga uporabljajo različni proizvajalci brezžičnih naprav v svoji vdelani programski opremi, so bile ugotovljene štiri ranljivosti, ki bi lahko nepristnemu napadalcu omogočile oddaljeno izvajanje kode na napravi s povišanimi privilegiji. Po predhodnih ocenah težave zadevajo najmanj 200 modelov naprav 65 različnih dobaviteljev, vključno z različnimi modeli brezžičnih usmerjevalnikov Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT- Link, Netgear, Realtek, Smartlink, UPVEL, ZTE in Zyxel.
Težava zajema različne razrede brezžičnih naprav, ki temeljijo na RTL8xxx SoC, od brezžičnih usmerjevalnikov in ojačevalnikov Wi-Fi do kamer IP in pametnih naprav za nadzor osvetlitve. Naprave, ki temeljijo na čipih RTL8xxx, uporabljajo arhitekturo, ki vključuje namestitev dveh SoC-jev - prvi namesti proizvajalčevo vdelano programsko opremo, ki temelji na Linuxu, drugi pa izvaja ločeno okrnjeno okolje Linux z implementacijo funkcij dostopne točke. Polnjenje drugega okolja temelji na standardnih komponentah, ki jih ponuja Realtek v SDK. Te komponente tudi obdelujejo podatke, prejete kot rezultat pošiljanja zunanjih zahtev.
Ranljivosti vplivajo na izdelke, ki uporabljajo Realtek SDK v2.x, Realtek “Jungle” SDK v3.0-3.4 in Realtek “Luna” SDK pred različico 1.3.2. Popravek je bil že izdan v posodobitvi Realtek "Luna" SDK 1.3.2a, za objavo pa so v pripravi tudi popravki za Realtek "Jungle" SDK. Za Realtek SDK 2.x ni načrtovanih nobenih popravkov, ker je bila podpora za to vejo že ukinjena. Za vse ranljivosti so na voljo delujoči prototipi izkoriščanja, ki vam omogočajo izvajanje kode v napravi.
Ugotovljene ranljivosti (prvima dvema je dodeljena stopnja resnosti 8.1, ostalim pa 9.8):
- CVE-2021-35392 - Prekoračitev medpomnilnika v procesih mini_upnpd in wscd, ki izvajajo funkcionalnost “WiFi Simple Config” (mini_upnpd obdeluje pakete SSDP, wscd pa poleg podpore SSDP obdeluje zahteve UPnP na podlagi protokola HTTP). Napadalec lahko doseže izvedbo svoje kode tako, da pošlje posebej oblikovane zahteve UPnP “SUBSCRIBE” s preveliko številko vrat v polju “Callback”. NAROČI SE /upnp/event/WFAWLANConfig1 HTTP/1.1 Gostitelj: 192.168.100.254:52881 Povratni klic: NT:upnp:dogodek
- CVE-2021-35393 je ranljivost v obdelovalcih WiFi Simple Config, ki se pojavi pri uporabi protokola SSDP (uporablja UDP in obliko zahteve, podobno HTTP). Težavo povzroča uporaba fiksnega vmesnega pomnilnika 512 bajtov pri obdelavi parametra »ST:upnp« v sporočilih M-SEARCH, ki jih pošljejo odjemalci za ugotavljanje prisotnosti storitev v omrežju.
- CVE-2021-35394 je ranljivost v procesu MP Daemon, ki je odgovoren za izvajanje diagnostičnih operacij (ping, traceroute). Težava omogoča zamenjavo lastnih ukazov zaradi nezadostnega preverjanja argumentov pri izvajanju zunanjih pripomočkov.
- CVE-2021-35395 je niz ranljivosti v spletnih vmesnikih, ki temeljijo na strežnikih http /bin/webs in /bin/boa. V obeh strežnikih so bile ugotovljene tipične ranljivosti, ki jih povzroča pomanjkanje preverjanja argumentov pred zagonom zunanjih pripomočkov s funkcijo system(). Razlike so le v uporabi različnih API-jev za napade. Oba upravljalnika nista vključevala zaščite pred napadi CSRF in tehnike »rebinding DNS«, ki omogoča pošiljanje zahtev iz zunanjega omrežja, hkrati pa omejuje dostop do vmesnika samo na notranje omrežje. Procesi so tudi privzeto nastavljeni na vnaprej določen račun nadzornika/nadzornika. Poleg tega je bilo v obdelovalcih ugotovljenih več prekoračitev sklada, do katerih pride, ko so poslani preveliki argumenti. POST /goform/formWsc HTTP/1.1 Host: 192.168.100.254 Content-Length: 129 Content-Type: application/x-www-form-urlencoded submit-url=%2Fwlwps.asp&resetUnCfg=0&peerPin=12345678;ifconfig>/tmp/1 ;&setPIN=Start+PIN&configVxd=off&resetRptUnCfg=0&peerRptPin=
- Poleg tega je bilo v procesu UDPServer odkritih še več ranljivosti. Kot se je izkazalo, so eno od težav že leta 2015 odkrili drugi raziskovalci, a je niso popolnoma odpravili. Težavo povzroča pomanjkanje ustreznega preverjanja veljavnosti argumentov, posredovanih funkciji system(), in jo je mogoče izkoristiti s pošiljanjem niza, kot je 'orf;ls', na omrežna vrata 9034. Poleg tega je bila v strežniku UDPServer ugotovljena prekoračitev medpomnilnika zaradi nezanesljive uporabe funkcije sprintf, ki se lahko potencialno uporablja tudi za izvajanje napadov.
Vir: opennet.ru