Ostatnio opublikowano ważne informacje na temat czterech luk w zabezpieczeniach komponenty pakietu Realtek SDK, który jest używany przez różnych producentów urządzeń bezprzewodowych w ich oprogramowaniu sprzętowym. Wykryte problemy umożliwiają nieuwierzytelnionemu napastnikowi zdalne wykonanie kodu na urządzeniu z podwyższonym poziomem uprawnień.
Szacuje się, że problemy dotyczą co najmniej 200 modeli urządzeń od 65 różnych dostawców, w tym różne modele routerów bezprzewodowych marek Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT-Link, Netgear, Realtek, Smartlink, UPVEL, ZTE i Zyxel.
Problem obejmuje różne klasy urządzeń bezprzewodowych opartych na RTL8xxx SoCOd routerów bezprzewodowych i wzmacniaczy Wi-Fi po kamery IP i inteligentne urządzenia do sterowania oświetleniem.
Urządzenia oparte na chipach RTL8xxx wykorzystują architekturę, która obejmuje instalację dwóch SoC: pierwszy instaluje oprogramowanie firmowe producenta opartego na Linuksie, a drugi uruchamia oddzielne środowisko lean Linux z implementacją funkcji punktu dostępowego. Populacja drugiego środowiska oparta jest na typowych komponentach dostarczanych przez Realtek w SDK. Komponenty te m.in. przetwarzają dane otrzymane w wyniku wysyłania żądań zewnętrznych.
Luki w zabezpieczeniach wpływa na produkty korzystające z Realtek SDK v2.x, Realtek „Jungle” SDK v3.0-3.4 i Realtek „Luna” SDK do wersji 1.3.2.
W odniesieniu do części opisu zidentyfikowanych podatności należy wspomnieć, że dwóm pierwszym przypisano poziom ważności 8.1, a pozostałym 9.8.
- CVE-2021-35392: Przepełnienie bufora w procesach mini_upnpd i wscd, które implementują funkcjonalność „WiFi Simple Config” (mini_upnpd obsługuje pakiety SSDP i wscd, oprócz obsługi SSDP obsługuje żądania UPnP w oparciu o protokół HTTP). W ten sposób osoba atakująca może wykonać Twój kod, wysyłając specjalnie spreparowane żądania UPnP SUBSCRIBE ze zbyt wysokim numerem portu w polu wywołania zwrotnego.
- CVE-2021-35393: podatność w sterownikach „WiFi Simple Config”, ujawniająca się podczas korzystania z protokołu SSDP (wykorzystuje UDP i format żądania podobny do HTTP). Problem jest spowodowany użyciem 512-bajtowego stałego bufora podczas przetwarzania parametru „ST:upnp” w wiadomościach M-SEARCH wysyłanych przez klientów w celu określenia dostępności usług w sieci.
- CVE-2021-35394: Jest to podatność w procesie MP Daemon, który odpowiada za wykonywanie operacji diagnostycznych (ping, traceroute). Problem umożliwia podmianę poleceń z powodu niewystarczającej walidacji argumentów podczas uruchamiania zewnętrznych narzędzi.
- CVE-2021-35395: to szereg luk w interfejsach internetowych opartych na serwerach http/bin/webs i /bin/boa. Na obu serwerach zidentyfikowano typowe luki, spowodowane brakiem walidacji argumentów przed wykonaniem zewnętrznych narzędzi za pomocą funkcji system(). Różnice sprowadzają się tylko do użycia różnych API do ataku.
Oba sterowniki nie zawierały ochrony przed atakami CSRF oraz techniki „DNS rebinding”, która umożliwia wysyłanie żądań z sieci zewnętrznej przy jednoczesnym ograniczeniu dostępu do interfejsu tylko do sieci wewnętrznej. Procesy domyślnie wykorzystywały również predefiniowane konto przełożonego / przełożonego.
Poprawka została już wydana w aktualizacji Realtek „Luna” SDK 1.3.2a, a do wydania przygotowywane są również poprawki Realtek „Jungle” SDK. Nie planuje się żadnych poprawek dla Realtek SDK 2.x, ponieważ utrzymanie tej gałęzi zostało już przerwane. Dostarczono funkcjonalne prototypy exploitów dla wszystkich podatności, umożliwiając im uruchomienie ich kodu na urządzeniu.
Ponadto, identyfikacja kilku kolejnych podatności jest obserwowana w procesie UDPServer. Jak się okazało, jeden z problemów został już odkryty przez innych badaczy w 2015 roku, ale nie został do końca naprawiony. Problem jest spowodowany brakiem poprawnej walidacji argumentów przekazywanych do funkcji system() i można go wykorzystać wysyłając linię typu 'orf; ls' do portu sieciowego 9034.
źródło: https://www.iot-inspector.com