มีการระบุช่องโหว่สี่รายการในส่วนประกอบของ Realtek SDK ซึ่งผู้ผลิตอุปกรณ์ไร้สายหลายรายใช้ในเฟิร์มแวร์ของตน ซึ่งอาจทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถรันโค้ดจากระยะไกลบนอุปกรณ์ที่มีสิทธิ์ระดับสูงได้ จากการประมาณการเบื้องต้น ปัญหาดังกล่าวส่งผลกระทบต่ออุปกรณ์อย่างน้อย 200 รุ่นจากซัพพลายเออร์ 65 ราย รวมถึงเราเตอร์ไร้สายรุ่นต่างๆ Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT- ลิงค์, Netgear, Realtek, Smartlink, UPVEL, ZTE และ Zyxel
ปัญหานี้ครอบคลุมอุปกรณ์ไร้สายประเภทต่างๆ ที่ใช้ RTL8xxx SoC ตั้งแต่เราเตอร์ไร้สายและเครื่องขยายสัญญาณ Wi-Fi ไปจนถึงกล้อง IP และอุปกรณ์ควบคุมไฟอัจฉริยะ อุปกรณ์ที่ใช้ชิป RTL8xxx ใช้สถาปัตยกรรมที่เกี่ยวข้องกับการติดตั้ง SoC สองตัว โดยอันแรกจะติดตั้งเฟิร์มแวร์บน Linux ของผู้ผลิต และอุปกรณ์ตัวที่สองรันสภาพแวดล้อม Linux แบบแยกส่วนแยกต่างหากพร้อมการใช้งานฟังก์ชันจุดเข้าใช้งาน การเติมสภาพแวดล้อมที่สองจะขึ้นอยู่กับส่วนประกอบมาตรฐานที่ Realtek มอบให้ใน SDK ส่วนประกอบเหล่านี้ยังประมวลผลข้อมูลที่ได้รับจากการส่งคำขอภายนอกอีกด้วย
ช่องโหว่นี้ส่งผลต่อผลิตภัณฑ์ที่ใช้ Realtek SDK v2.x, Realtek “Jungle” SDK v3.0-3.4 และ Realtek “Luna” SDK ก่อนเวอร์ชัน 1.3.2 การแก้ไขดังกล่าวได้รับการเผยแพร่แล้วในการอัพเดต Realtek "Luna" SDK 1.3.2a และแพตช์สำหรับ Realtek "Jungle" SDK ก็กำลังเตรียมการเผยแพร่ด้วยเช่นกัน ไม่มีแผนที่จะออกการแก้ไขใดๆ สำหรับ Realtek SDK 2.x เนื่องจากการสนับสนุนสำหรับสาขานี้ได้ถูกยกเลิกไปแล้ว สำหรับช่องโหว่ทั้งหมด จะมีการสร้างต้นแบบช่องโหว่การทำงานที่ช่วยให้คุณสามารถรันโค้ดบนอุปกรณ์ได้
ช่องโหว่ที่ระบุ (สองรายการแรกถูกกำหนดระดับความรุนแรงที่ 8.1 และส่วนที่เหลือ - 9.8):
- CVE-2021-35392 - บัฟเฟอร์ล้นในกระบวนการ mini_upnpd และ wscd ที่ใช้ฟังก์ชัน "WiFi Simple Config" (mini_upnpd ประมวลผลแพ็กเก็ต SSDP และ wscd นอกเหนือจากการรองรับ SSDP แล้ว ยังประมวลผลคำขอ UPnP ตามโปรโตคอล HTTP) ผู้โจมตีสามารถดำเนินการโค้ดของตนได้โดยการส่งคำขอ UPnP “SUBSCRIBE” ที่สร้างขึ้นเป็นพิเศษพร้อมหมายเลขพอร์ตที่มากเกินไปในช่อง “Callback” สมัครสมาชิก /upnp/event/WFAWLANConfig1 HTTP/1.1 โฮสต์: 192.168.100.254:52881 โทรกลับ: NT:upnp:เหตุการณ์
- CVE-2021-35393 เป็นช่องโหว่ในตัวจัดการ WiFi Simple Config ที่เกิดขึ้นเมื่อใช้โปรโตคอล SSDP (ใช้ UDP และรูปแบบคำขอที่คล้ายกับ HTTP) ปัญหานี้เกิดจากการใช้บัฟเฟอร์คงที่ 512 ไบต์เมื่อประมวลผลพารามิเตอร์ "ST:upnp" ในข้อความ M-SEARCH ที่ส่งโดยไคลเอ็นต์เพื่อตรวจสอบการมีอยู่ของบริการบนเครือข่าย
- CVE-2021-35394 เป็นช่องโหว่ในกระบวนการ MP Daemon ซึ่งรับผิดชอบในการดำเนินการวินิจฉัย (ping, Traceroute) ปัญหาดังกล่าวทำให้สามารถทดแทนคำสั่งของตนเองได้ เนื่องจากการตรวจสอบอาร์กิวเมนต์ไม่เพียงพอเมื่อเรียกใช้งานยูทิลิตี้ภายนอก
- CVE-2021-35395 เป็นชุดของช่องโหว่ในเว็บอินเตอร์เฟสที่ใช้ http เซิร์ฟเวอร์ /bin/webs และ /bin/boa ช่องโหว่ทั่วไปที่เกิดจากการขาดการตรวจสอบอาร์กิวเมนต์ก่อนเปิดใช้งานยูทิลิตี้ภายนอกโดยใช้ฟังก์ชัน system() ถูกระบุในเซิร์ฟเวอร์ทั้งสอง ความแตกต่างอยู่ที่การใช้ API ที่แตกต่างกันสำหรับการโจมตีเท่านั้น ตัวจัดการทั้งสองไม่รวมการป้องกันการโจมตี CSRF และเทคนิค “DNS rebinding” ซึ่งอนุญาตให้ส่งคำขอจากเครือข่ายภายนอกในขณะที่จำกัดการเข้าถึงอินเทอร์เฟซเฉพาะเครือข่ายภายในเท่านั้น กระบวนการยังตั้งค่าเริ่มต้นเป็นบัญชีหัวหน้างาน/หัวหน้างานที่กำหนดไว้ล่วงหน้าด้วย นอกจากนี้ ยังมีการระบุสแต็กโอเวอร์โฟลว์หลายรายการในตัวจัดการ ซึ่งเกิดขึ้นเมื่อมีการส่งอาร์กิวเมนต์ที่มีขนาดใหญ่เกินไป POST /goform/formWsc HTTP/1.1 โฮสต์: 192.168.100.254 ความยาวเนื้อหา: 129 ประเภทเนื้อหา: application/x-www-form-urlencoded send-url=%2Fwlwps.asp&resetUnCfg=0&peerPin=12345678;ifconfig>/tmp/1 ;&setPIN=เริ่ม+PIN&configVxd=ปิด&รีเซ็ตRptUnCfg=0&peerRptPin=
- นอกจากนี้ ยังมีการระบุช่องโหว่อีกหลายรายการในกระบวนการ UDPServer ปรากฏว่าปัญหาประการหนึ่งได้ถูกค้นพบโดยนักวิจัยคนอื่น ๆ เมื่อปี 2015 แต่ไม่ได้รับการแก้ไขทั้งหมด ปัญหาเกิดจากการขาดการตรวจสอบความถูกต้องของอาร์กิวเมนต์ที่ส่งไปยังฟังก์ชัน system() และสามารถใช้ประโยชน์ได้โดยการส่งสตริงเช่น 'orf;ls' ไปยังพอร์ตเครือข่าย 9034 นอกจากนี้ บัฟเฟอร์ล้นได้รับการระบุใน UDPServer เนื่องจากการใช้ฟังก์ชัน sprintf ที่ไม่ปลอดภัย ซึ่งอาจสามารถใช้เพื่อโจมตีได้เช่นกัน
ที่มา: opennet.ru