recentemente sono state rilasciate importanti informazioni su quattro vulnerabilità in i componenti dell'SDK Realtek, utilizzato da vari produttori di dispositivi wireless nel loro firmware. I problemi rilevati consentono a un utente malintenzionato non autenticato di eseguire codice in remoto su un dispositivo con privilegi elevati.
Si stima che i problemi riguardano almeno 200 modelli di dispositivi di 65 fornitori diversi, inclusi vari modelli di router wireless dei marchi Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT-Link, Netgear, Realtek, Smartlink, UPVEL, ZTE e Zyxel.
Il problema comprende varie classi di dispositivi wireless basati su SoC RTL8xxxDa router wireless e amplificatori Wi-Fi a telecamere IP e dispositivi intelligenti per il controllo dell'illuminazione.
I dispositivi basati su chip RTL8xxx utilizzano un'architettura che prevede l'installazione di due SoC: il primo installa il firmware del produttore basato su Linux e il secondo esegue un ambiente Linux snello separato con l'implementazione delle funzioni del punto di accesso. La popolazione del secondo ambiente si basa su componenti tipici forniti da Realtek nell'SDK. Tali componenti, tra l'altro, elaborano i dati ricevuti a seguito dell'invio di richieste esterne.
Vulnerabilità influiscono sui prodotti che utilizzano Realtek SDK v2.x, Realtek "Jungle" SDK v3.0-3.4 e Realtek "Luna" SDK fino alla versione 1.3.2.
Per quanto riguarda la parte della descrizione delle vulnerabilità individuate, è importante ricordare che alle prime due è stato assegnato un livello di gravità 8.1 e alle restanti 9.8.
- CVE-2021-35392: Buffer overflow nei processi mini_upnpd e wscd che implementano la funzionalità "WiFi Simple Config" (mini_upnpd gestisce i pacchetti SSDP e wscd, oltre a supportare SSDP, gestisce le richieste UPnP basate sul protocollo HTTP). In questo modo, un utente malintenzionato può ottenere l'esecuzione del codice inviando richieste UPnP SUBSCRIBE appositamente predisposte con un numero di porta troppo alto nel campo di callback.
- CVE-2021-35393: una vulnerabilità nei driver "WiFi Simple Config", che si manifesta quando si utilizza il protocollo SSDP (utilizza UDP e un formato di richiesta simile a HTTP). Il problema è causato dall'utilizzo di un buffer fisso a 512 byte durante l'elaborazione del parametro "ST: upnp" nei messaggi M-SEARCH inviati dai client per determinare la disponibilità dei servizi in rete.
- CVE-2021-35394: È una vulnerabilità nel processo MP Daemon, responsabile dell'esecuzione di operazioni di diagnostica (ping, traceroute). Il problema consente la sostituzione dei comandi a causa di una convalida insufficiente degli argomenti durante l'esecuzione di utilità esterne.
- CVE-2021-35395: è una serie di vulnerabilità nelle interfacce web basate sui server http/bin/webs e /bin/boa. Sono state identificate vulnerabilità tipiche su entrambi i server, causate dalla mancanza di convalida degli argomenti prima dell'esecuzione di utilità esterne utilizzando la funzione system(). Le differenze si riducono solo all'uso di API diverse per l'attacco.
Entrambi i driver non includevano la protezione contro gli attacchi CSRF e la tecnica "rebinding DNS", che consente di inviare richieste dalla rete esterna limitando l'accesso all'interfaccia solo alla rete interna. Per impostazione predefinita, i processi utilizzavano anche l'account supervisore/supervisore predefinito.
La correzione è già stata rilasciata nell'aggiornamento 1.3.2a dell'SDK Realtek "Luna" e anche le patch dell'SDK Realtek "Jungle" sono in preparazione per il rilascio. Non sono previste correzioni per Realtek SDK 2.x, poiché la manutenzione per questo ramo è già stata interrotta. Sono stati forniti prototipi di exploit funzionali per tutte le vulnerabilità, consentendo loro di eseguire il proprio codice sul dispositivo.
Inoltre, si osserva l'identificazione di molte altre vulnerabilità nel processo UDPServer. Come si è scoperto, uno dei problemi era già stato scoperto da altri ricercatori nel 2015, ma non era stato completamente risolto. Il problema è causato dalla mancata validazione degli argomenti passati alla funzione system() e può essere sfruttato inviando una riga come 'orf; ls' alla porta di rete 9034.
fonte: https://www.iot-inspector.com