Realtek SDK 的元件中已發現四個漏洞,各個無線設備製造商在其韌體中使用該漏洞,這些漏洞可能允許未經身份驗證的攻擊者以提升的權限在設備上遠端執行程式碼。 根據初步估計,該問題影響了來自200個不同供應商的至少65種設備型號,包括Asus、A-Link、Beeline、Belkin、Buffalo、D-Link、Edison、華為、LG、Logitec、MT等各種型號的無線路由器。Link、Netgear、Realtek、Smartlink、UPVEL、ZTE 和 Zyxel。
此問題涵蓋基於 RTL8xxx SoC 的各類無線設備,從無線路由器和 Wi-Fi 放大器到 IP 攝影機和智慧照明控制設備。 基於 RTL8xxx 晶片的設備使用的架構涉及安裝兩個 SoC - 第一個安裝製造商基於 Linux 的固件,第二個運行單獨的精簡 Linux 環境並實現接入點功能。 第二環境的填充是基於SDK中Realtek提供的標準元件。 這些元件還處理由於發送外部請求而收到的資料。
此漏洞影響使用Realtek SDK v2.x、Realtek“Jungle”SDK v3.0-3.4和Realtek“Luna”SDK 1.3.2版本之前的產品。 該修復已在 Realtek“Luna”SDK 1.3.2a 更新中發布,Realtek“Jungle”SDK 的補丁也正在準備發布。 沒有計劃發布針對 Realtek SDK 2.x 的任何修復程序,因為對該分支的支援已停止。 對於所有漏洞,都提供了有效的利用原型,讓您可以在裝置上執行程式碼。
已識別的漏洞(前兩者的嚴重程度為 8.1,其餘為 9.8):
- CVE-2021-35392 - 實作「WiFi Simple Config」功能的 mini_upnpd 和 wscd 進程中存在緩衝區溢位(mini_upnpd 處理 SSDP 封包,而 wscd 除了支援 SSDP 之外,還處理基於 HTTP 協定的 UPnP 請求)。 攻擊者可以透過傳送特製的 UPnP「SUBSCRIBE」請求(在「Callback」欄位中使用過大的連接埠號碼)來執行其程式碼。 訂閱 /upnp/event/WFAWLANConfig1 HTTP/1.1 主機:192.168.100.254:52881 回呼: NT:upnp:事件
- CVE-2021-35393 是 WiFi Simple Config 處理程序中的漏洞,在使用 SSDP 協定(使用 UDP 和類似 HTTP 的請求格式)時出現。 該問題是由於在處理客戶端發送的 M-SEARCH 訊息中的“ST:upnp”參數以確定網路上是否存在服務時使用 512 位元組的固定緩衝區引起的。
- CVE-2021-35394 是 MP Daemon 進程中的漏洞,該進程負責執行診斷操作(ping、traceroute)。 由於執行外部實用程式時參數檢查不充分,此問題允許替換自己的命令。
- CVE-2021-35395 是基於 http 伺服器 /bin/webs 和 /bin/boa 的 Web 介面中的一系列漏洞。 在兩台伺服器中都發現了由於在使用 system() 函數啟動外部實用程式之前缺乏檢查參數而導致的典型漏洞。 差異僅在於使用不同的 API 進行攻擊。 這兩個處理程序都不包括針對 CSRF 攻擊的保護和「DNS 重新綁定」技術,該技術允許從外部網路發送請求,同時限制對內部網路介面的存取。 進程也預設使用預先定義的主管/主管帳戶。 此外,在處理程序中還發現了多個堆疊溢出,這些溢出是在發送太大的參數時發生的。 POST /goform/formWsc HTTP/1.1 主機:192.168.100.254 內容長度:129 內容類型:application/x-www-form-urlencoded Submit-url=%2Fwlwps.asp&resetUnCfg=0&peercoded Submit-url=%12345678Fwlwps.asp&resetUnCfg=1&peer =開始+PIN&configVxd=關閉&resetRptUnCfg=0&peerRptPin=
- 此外,UDPServer 進程中還發現了多個漏洞。 事實證明,其中一個問題早在 2015 年就已被其他研究人員發現,但並未完全修正。 該問題是由於缺乏對傳遞給 system() 函數的參數進行正確驗證而引起的,並且可以透過將「orf;ls」等字串傳送到網路連接埠 9034 來利用。 此外,由於 sprintf 函數的不安全使用,UDPServer 中已發現緩衝區溢出,該函數也可能被用來實施攻擊。
來源: opennet.ru