Realtek SDK 的组件中已发现四个漏洞,各个无线设备制造商在其固件中使用该漏洞,这些漏洞可能允许未经身份验证的攻击者以提升的权限在设备上远程执行代码。 据初步估计,该问题影响了来自200个不同供应商的至少65种设备型号,包括Asus、A-Link、Beeline、Belkin、Buffalo、D-Link、Edison、华为、LG、Logitec、MT等各种型号的无线路由器。 Link、Netgear、Realtek、Smartlink、UPVEL、ZTE 和 Zyxel。
该问题涵盖基于 RTL8xxx SoC 的各类无线设备,从无线路由器和 Wi-Fi 放大器到 IP 摄像机和智能照明控制设备。 基于 RTL8xxx 芯片的设备使用的架构涉及安装两个 SoC - 第一个安装制造商基于 Linux 的固件,第二个运行单独的精简 Linux 环境并实现接入点功能。 第二环境的填充是基于SDK中Realtek提供的标准组件。 这些组件还处理由于发送外部请求而收到的数据。
该漏洞影响使用Realtek SDK v2.x、Realtek“Jungle”SDK v3.0-3.4以及Realtek“Luna”SDK 1.3.2版本之前的产品。 该修复已在 Realtek“Luna”SDK 1.3.2a 更新中发布,Realtek“Jungle”SDK 的补丁也正在准备发布。 没有计划发布针对 Realtek SDK 2.x 的任何修复程序,因为对此分支的支持已停止。 对于所有漏洞,都提供了有效的利用原型,允许您在设备上执行代码。
已识别的漏洞(前两个的严重级别为 8.1,其余为 9.8):
- CVE-2021-35392 - 实现“WiFi Simple Config”功能的 mini_upnpd 和 wscd 进程中存在缓冲区溢出(mini_upnpd 处理 SSDP 数据包,而 wscd 除了支持 SSDP 之外,还处理基于 HTTP 协议的 UPnP 请求)。 攻击者可以通过发送特制的 UPnP“SUBSCRIBE”请求(在“Callback”字段中使用过大的端口号)来执行其代码。 订阅 /upnp/event/WFAWLANConfig1 HTTP/1.1 主机:192.168.100.254:52881 回调: NT:upnp:事件
- CVE-2021-35393 是 WiFi Simple Config 处理程序中的一个漏洞,在使用 SSDP 协议(使用 UDP 和类似于 HTTP 的请求格式)时出现。 该问题是由于在处理客户端发送的 M-SEARCH 消息中的“ST:upnp”参数以确定网络上是否存在服务时使用 512 字节的固定缓冲区引起的。
- CVE-2021-35394 是 MP Daemon 进程中的漏洞,该进程负责执行诊断操作(ping、traceroute)。 由于执行外部实用程序时参数检查不充分,该问题允许替换自己的命令。
- CVE-2021-35395 是基于 http 服务器 /bin/webs 和 /bin/boa 的 Web 界面中的一系列漏洞。 在两台服务器中都发现了由于在使用 system() 函数启动外部实用程序之前缺乏检查参数而导致的典型漏洞。 差异仅在于使用不同的 API 进行攻击。 这两个处理程序均不包括针对 CSRF 攻击的保护和“DNS 重新绑定”技术,该技术允许从外部网络发送请求,同时限制对内部网络接口的访问。 进程还默认使用预定义的主管/主管帐户。 此外,在处理程序中还发现了多个堆栈溢出,这些溢出是在发送太大的参数时发生的。 POST /goform/formWsc HTTP/1.1 主机:192.168.100.254 内容长度:129 内容类型:application/x-www-form-urlencoded Submit-url=%2Fwlwps.asp&resetUnCfg=0&peerPin=12345678;ifconfig>/tmp/1 ;&setPIN=开始+PIN&configVxd=关闭&resetRptUnCfg=0&peerRptPin=
- 此外,UDPServer 进程中还发现了多个漏洞。 事实证明,其中一个问题早在 2015 年就已被其他研究人员发现,但并未得到完全纠正。 该问题是由于缺乏对传递给 system() 函数的参数进行正确验证而引起的,并且可以通过将“orf;ls”等字符串发送到网络端口 9034 来利用。 此外,由于 sprintf 函数的不安全使用,UDPServer 中已发现缓冲区溢出,该函数也可能被用来实施攻击。
来源: opennet.ru