Недавно была выпущена важная информация о четырех уязвимостях в компоненты Realtek SDK, которые используются различными производителями беспроводных устройств в своих прошивках. Обнаруженные проблемы позволяют злоумышленнику, не прошедшему проверку подлинности, удаленно выполнять код на устройстве с повышенными правами.
По оценкам, проблемы затрагивают не менее 200 моделей устройств от 65 различных поставщиков, включая различные модели беспроводных маршрутизаторов от Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT -Link, Netgear, Realtek, Smartlink, UPVEL, ZTE и Zyxel.
Проблема охватывает различные классы беспроводных устройств на базе SoC RTL8xxxОт беспроводных маршрутизаторов и усилителей Wi-Fi до IP-камер и интеллектуальных устройств для управления освещением.
Устройства на базе чипов RTL8xxx используют архитектуру, которая включает установку двух SoC: первая устанавливает прошивку производителя на базе Linux, а вторая запускает отдельную экономичную среду Linux с реализацией функций точки доступа. Население второй среды основано на типичных компонентах, предоставляемых Realtek в SDK. Эти компоненты, помимо прочего, обрабатывают данные, полученные в результате отправки внешних запросов.
Уязвимости влияют на продукты с помощью Realtek SDK v2.x, Realtek "Jungle" SDK v3.0-3.4 и Realtek "Luna" SDK до версии 1.3.2.
Что касается части описания выявленных уязвимостей, важно отметить, что первым двум был присвоен уровень серьезности 8.1, а остальным - 9.8.
- CVE-2021-35392: Переполнение буфера в процессах mini_upnpd и wscd, которые реализуют функциональность «WiFi Simple Config» (mini_upnpd обрабатывает пакеты SSDP и wscd, помимо поддержки SSDP, он обрабатывает запросы UPnP на основе протокола HTTP). Таким образом, злоумышленник может запустить ваш код, отправив специально созданные запросы UPnP SUBSCRIBE со слишком большим номером порта в поле обратного вызова.
- CVE-2021-35393: уязвимость в драйверах «WiFi Simple Config», проявляющаяся при использовании протокола SSDP (использует UDP и формат запроса, аналогичный HTTP). Проблема вызвана использованием 512-байтового фиксированного буфера при обработке параметра «ST: upnp» в сообщениях M-SEARCH, отправляемых клиентами для определения доступности услуг в сети.
- CVE-2021-35394: Это уязвимость в процессе MP Daemon, который отвечает за выполнение диагностических операций (ping, traceroute). Проблема допускает подмену ваших команд из-за недостаточной проверки аргументов при запуске внешних утилит.
- CVE-2021-35395: представляет собой серию уязвимостей в веб-интерфейсах, основанных на серверах http / bin / webs и / bin / boa. На обоих серверах были обнаружены типичные уязвимости, вызванные отсутствием проверки аргументов перед запуском внешних утилит с помощью функции system (). Отличия сводятся только к использованию разных API для атаки.
Оба драйвера не включали защиту от CSRF-атак и технику «повторного связывания DNS», которая позволяет отправлять запросы из внешней сети, ограничивая доступ к интерфейсу только во внутреннюю сеть. По умолчанию процессы также использовали предопределенную учетную запись супервизора / супервизора.
Исправление уже было выпущено в обновлении 1.3.2a SDK Realtek "Luna", а также готовятся к выпуску исправления SDK Realtek "Jungle". Никаких исправлений для Realtek SDK 2.x не планируется, так как обслуживание этой ветки уже прекращено. Для всех уязвимостей предоставлены прототипы функциональных эксплойтов, что позволяет им запускать свой код на устройстве.
Кроме того, в процессе UDPServer наблюдается выявление еще нескольких уязвимостей. Как оказалось, одна из проблем уже была обнаружена другими исследователями в 2015 году, но до конца не исправлена. Проблема вызвана отсутствием надлежащей проверки аргументов, переданных функции system (), и может быть использована путем отправки строки типа 'orf; ls на сетевой порт 9034.
источник: https://www.iot-inspector.com