ProHoster > Blog > internet yangiliklari > RTL83xx chiplaridagi Cisco, Zyxel va NETGEAR kalitlarini boshqarishga imkon beruvchi zaifliklar

RTL83xx chiplaridagi Cisco, Zyxel va NETGEAR kalitlarini boshqarishga imkon beruvchi zaifliklar

RTL83xx chiplariga asoslangan kalitlarda, jumladan Cisco Small Business 220, Zyxel GS1900-24, NETGEAR GS75x, ALLNET ALL-SG8208M va kamroq taniqli ishlab chiqaruvchilarning o'ndan ortiq qurilmalari, aniqlangan autentifikatsiya qilinmagan tajovuzkorga kalitni boshqarishga imkon beruvchi muhim zaifliklar. Muammolar Realtek Managed Switch Controller SDK-dagi xatolar tufayli yuzaga keladi, uning kodi proshivkani tayyorlash uchun ishlatilgan.

Birinchi zaiflik (CVE-2019-1913) veb-nazorat interfeysiga ta'sir qiladi va kodingizni root foydalanuvchi huquqlari bilan bajarishga imkon beradi. Zaiflik foydalanuvchi tomonidan taqdim etilgan parametrlarning etarli darajada tekshirilmaganligi va kirish ma'lumotlarini o'qishda bufer chegaralarini to'g'ri baholamaslik bilan bog'liq. Natijada, tajovuzkor maxsus tayyorlangan so'rov yuborish orqali bufer to'lib ketishiga olib kelishi va o'z kodini bajarish uchun muammodan foydalanishi mumkin.

Ikkinchi zaiflik (CVE-2019-1912) ixtiyoriy fayllarni autentifikatsiyasiz kalitga yuklash imkonini beradi, jumladan, konfiguratsiya fayllarini qayta yozish va masofaviy kirish uchun teskari qobiqni ishga tushirish. Muammo veb-interfeysdagi ruxsatlarning to'liq tekshirilmaganligidan kelib chiqadi.

Bundan tashqari, kamroq xavflilarni yo'q qilishni ham qayd etishingiz mumkin zaifliklar (CVE-2019-1914), bu veb-interfeysga imtiyozsiz autentifikatsiya qilingan login mavjud bo'lsa, ildiz huquqlari bilan o'zboshimchalik bilan buyruqlarni bajarishga imkon beradi. Muammolar Cisco Small Business 220 (1.1.4.4), Zyxel va NETGEAR mikrodastur yangilanishlarida hal qilinadi. Operatsion usullarining batafsil tavsifi rejalashtirilgan nashr qilish 20 avgust.

Muammolar RTL83xx chiplariga asoslangan boshqa qurilmalarda ham paydo bo'ladi, ammo ular hali ishlab chiqaruvchilar tomonidan tasdiqlanmagan va tuzatilmagan:

  • EnGenius EGS2110P, EWS1200-28TFP, EWS1200-28TFP;
  • PLANET GS-4210-8P2S, GS-4210-24T2;
  • DrayTek VigorSwitch P1100;
  • CERIO CS-2424G-24P;
  • Xhome DownLoop-G24M;
  • Abaniact (INABA) AML2-PS16-17GP L2;
  • Araknis Networks (SnapAV) AN-310-SW-16-POE;
  • EDIMAX GS-5424PLC, GS-5424PLC;
  • Ochiq Mesh OMS24;
  • Pakedgedevice SX-8P;
  • TG-NET P3026M-24POE.

Manba: opennet.ru

a Izoh qo'shish