Faz pouco informações importantes foram divulgadas em quatro vulnerabilidades em os componentes do Realtek SDK, que é usado por vários fabricantes de dispositivos sem fio em seu firmware. Os problemas detectados permitem que um invasor não autenticado execute código remotamente em um dispositivo elevado.
Estima-se que problemas afetam pelo menos 200 modelos de dispositivos de 65 fornecedores diferentes, incluindo vários modelos de roteadores sem fio das marcas Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT -Link, Netgear, Realtek, Smartlink, UPVEL, ZTE e Zyxel.
O problema abrange várias classes de dispositivos sem fio baseados em RTL8xxx SoCDe roteadores sem fio e amplificadores Wi-Fi a câmeras IP e dispositivos inteligentes para controle de iluminação.
Dispositivos baseados em chips RTL8xxx usam uma arquitetura que envolve a instalação de dois SoCs: o primeiro instala o firmware do fabricante baseado em Linux e o segundo executa um ambiente Linux enxuto separado com a implementação das funções de ponto de acesso. A população do segundo ambiente é baseada em componentes típicos fornecidos pela Realtek no SDK. Esses componentes, entre outras coisas, processam os dados recebidos como resultado do envio de solicitações externas.
Vulnerabilidades afetam produtos que usam Realtek SDK v2.x, Realtek "Jungle" SDK v3.0-3.4 e Realtek "Luna" SDK até a versão 1.3.2.
Em relação à parte da descrição das vulnerabilidades identificadas, é importante mencionar que as duas primeiras foram atribuídas a um nível de gravidade de 8.1 e as restantes, 9.8.
- CVE-2021-35392: Estouro de buffer nos processos mini_upnpd e wscd que implementam a funcionalidade "WiFi Simple Config" (mini_upnpd lida com pacotes SSDP e wscd, além de suportar SSDP, lida com solicitações UPnP baseadas no protocolo HTTP). Ao fazer isso, um invasor pode executar seu código enviando solicitações UPnP SUBSCRIBE especialmente criadas com um número de porta muito alto no campo de retorno de chamada.
- CVE-2021-35393: uma vulnerabilidade nos drivers "WiFi Simple Config", que se manifesta ao usar o protocolo SSDP (usa UDP e um formato de solicitação semelhante ao HTTP). O problema é causado pelo uso de um buffer fixo de 512 bytes ao processar o parâmetro "ST: upnp" em mensagens M-SEARCH enviadas por clientes para determinar a disponibilidade de serviços na rede.
- CVE-2021-35394: É uma vulnerabilidade no processo MP Daemon, responsável por realizar operações de diagnóstico (ping, traceroute). O problema permite a substituição de seus comandos devido à validação insuficiente dos argumentos ao executar utilitários externos.
- CVE-2021-35395: é uma série de vulnerabilidades em interfaces da web baseadas em servidores http / bin / webs e / bin / boa. Vulnerabilidades típicas foram identificadas em ambos os servidores, causadas pela falta de validação de argumento antes de executar utilitários externos usando a função system (). As diferenças se resumem apenas ao uso de diferentes APIs para o ataque.
Ambos os drivers não incluíam proteção contra ataques CSRF e a técnica "rebinding DNS", que permite o envio de solicitações da rede externa enquanto restringe o acesso à interface apenas à rede interna. Os processos também usaram a conta de supervisor / supervisor predefinida por padrão.
A correção já foi lançada na atualização 1.3.2a do Realtek "Luna" SDK, e os patches do Realtek "Jungle" SDK também estão sendo preparados para lançamento. Nenhuma correção está planejada para Realtek SDK 2.x, pois a manutenção para este ramo já foi descontinuada. Protótipos de exploração funcional foram fornecidos para todas as vulnerabilidades, permitindo que executem seu código no dispositivo.
Além disso, a identificação de várias outras vulnerabilidades no processo UDPServer é observada. No final das contas, um dos problemas já havia sido descoberto por outros pesquisadores em 2015, mas não estava completamente resolvido. O problema é causado pela falta de validação apropriada dos argumentos passados para a função system () e pode ser explorado enviando uma linha como 'orf; ls 'para a porta de rede 9034.
fonte: https://www.iot-inspector.com