Устранение критической уязвимости Realtek, затрагивающей многие сетевые устройства
Раздел: Уязвимости систем и приложений
Был выпущен эксплойт-код для критической уязвимости, затрагивающей сетевые устройства с системой Realtek RTL819x на кристалле (SoC), число которых, по оценкам, исчисляется миллионами.
Уязвимость идентифицируется как CVE-2022-27255, и удаленный злоумышленник может использовать ее для взлома уязвимых устройств различных производителей оригинального оборудования (OEM), от маршрутизаторов и точек доступа до повторителей сигналов.
Четыре исследователя (Октавио Джанатиемпо, Октавио Галланд, Эмилио Коуто, Хавьер Агинага), которым приписывают обнаружение уязвимости, являются студентами компьютерных наук Университета Буэнос-Айреса.
Их презентация охватывала все усилия, ведущие к обнаружению проблемы безопасности, от выбора цели до анализа прошивки и использования уязвимости, а также автоматизации обнаружения в других образах прошивки.
Четыре исследователя из Faraday Security разработали экспериментальный код эксплойта (PoC) для CVE-2022-27255, который работает на маршрутизаторах Nexxt Nebula 300 Plus.
Они также поделились видео, показывающим, что удаленный злоумышленник может скомпрометировать устройство, даже если функции удаленного управления отключены.
Исследователи отмечают, что CVE-2022-27255 представляет собой уязвимость с нулевым кликом, что означает, что эксплуатация бесшумна и не требует взаимодействия с пользователем.
Злоумышленнику, использующему эту уязвимость, потребуется только внешний IP-адрес уязвимого устройства.
Несколько линий защиты
Йоханнес Ульрих, декан по исследованиям в SANS, говорит, что удаленный злоумышленник может использовать уязвимость для следующих действий:
разбить устройство
выполнить произвольный код
установить бэкдоры для персистентности
перенаправить сетевой трафик
перехватывать сетевой трафик
Ульрих предупреждает, что если эксплойт для CVE-2022-27255 превратится в червя, он может распространиться по Интернету за считанные минуты.
Несмотря на то, что исправление доступно с марта, Ульрих предупреждает, что уязвимость затрагивает «многие (миллионы) устройств» и что исправление вряд ли распространится на все устройства.
Это связано с тем, что несколько поставщиков используют уязвимый SDK Realtek для оборудования на базе SoC RTL819x, и многие из них еще не выпустили обновление прошивки.
Неясно, сколько сетевых устройств используют чипы RTL819x, но версия SoC RTL819xD присутствовала в продуктах более чем 60 поставщиков. Среди них ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet и Zyxel.
Исследователь говорит, что:
Уязвимы устройства, использующие встроенное ПО, построенное на основе Realtek eCOS SDK до марта 2022 года.
Вы уязвимы, даже если вы не предоставляете какие-либо функции интерфейса администратора.
Злоумышленники могут использовать один UDP-пакет на произвольный порт для использования уязвимости.
Эта уязвимость, вероятно, больше всего повлияет на маршрутизаторы, но также могут быть затронуты некоторые устройства IoT, построенные на основе Realtek SDK.
Ульрих создал здесь правило Snort, которое может обнаруживать эксплойт PoC. Он ищет сообщения «INVITE» со строкой «m=audio» и срабатывает, когда их больше 128 байт (размер выделенного буфера Realtek SDK) и если ни одно из них не является возвратом каретки.
Пользователям следует проверить, не уязвимо ли их сетевое оборудование, и установить обновление прошивки от производителя, выпущенное после марта, если оно доступно. Помимо этого, организации могут попытаться заблокировать нежелательные запросы UDP.
https://www.bleepingcomputer.com/news/security/exploit-out-for-critical-realtek-flaw-affecting-many-networking-devices/
Уязвимость идентифицируется как CVE-2022-27255, и удаленный злоумышленник может использовать ее для взлома уязвимых устройств различных производителей оригинального оборудования (OEM), от маршрутизаторов и точек доступа до повторителей сигналов.
Четыре исследователя (Октавио Джанатиемпо, Октавио Галланд, Эмилио Коуто, Хавьер Агинага), которым приписывают обнаружение уязвимости, являются студентами компьютерных наук Университета Буэнос-Айреса.
Их презентация охватывала все усилия, ведущие к обнаружению проблемы безопасности, от выбора цели до анализа прошивки и использования уязвимости, а также автоматизации обнаружения в других образах прошивки.
CVE-2022-27255 — это переполнение буфера на основе стека с оценкой серьезности 9,8 из 10, которое позволяет удаленным злоумышленникам выполнять код без аутентификации, используя специально созданные SIP-пакеты с вредоносными данными SDP.
Realtek рассмотрела проблему в марте, отметив, что она затрагивает серии rtl819x-eCos-v0.x и rtl819x-eCos-v1.x и что ее можно использовать через интерфейс WAN.
Четыре исследователя из Faraday Security разработали экспериментальный код эксплойта (PoC) для CVE-2022-27255, который работает на маршрутизаторах Nexxt Nebula 300 Plus.
Они также поделились видео, показывающим, что удаленный злоумышленник может скомпрометировать устройство, даже если функции удаленного управления отключены.
Исследователи отмечают, что CVE-2022-27255 представляет собой уязвимость с нулевым кликом, что означает, что эксплуатация бесшумна и не требует взаимодействия с пользователем.
Злоумышленнику, использующему эту уязвимость, потребуется только внешний IP-адрес уязвимого устройства.
Несколько линий защиты
Йоханнес Ульрих, декан по исследованиям в SANS, говорит, что удаленный злоумышленник может использовать уязвимость для следующих действий:
разбить устройство
выполнить произвольный код
установить бэкдоры для персистентности
перенаправить сетевой трафик
перехватывать сетевой трафик
Ульрих предупреждает, что если эксплойт для CVE-2022-27255 превратится в червя, он может распространиться по Интернету за считанные минуты.
Несмотря на то, что исправление доступно с марта, Ульрих предупреждает, что уязвимость затрагивает «многие (миллионы) устройств» и что исправление вряд ли распространится на все устройства.
Это связано с тем, что несколько поставщиков используют уязвимый SDK Realtek для оборудования на базе SoC RTL819x, и многие из них еще не выпустили обновление прошивки.
Неясно, сколько сетевых устройств используют чипы RTL819x, но версия SoC RTL819xD присутствовала в продуктах более чем 60 поставщиков. Среди них ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet и Zyxel.
Исследователь говорит, что:
Уязвимы устройства, использующие встроенное ПО, построенное на основе Realtek eCOS SDK до марта 2022 года.
Вы уязвимы, даже если вы не предоставляете какие-либо функции интерфейса администратора.
Злоумышленники могут использовать один UDP-пакет на произвольный порт для использования уязвимости.
Эта уязвимость, вероятно, больше всего повлияет на маршрутизаторы, но также могут быть затронуты некоторые устройства IoT, построенные на основе Realtek SDK.
Ульрих создал здесь правило Snort, которое может обнаруживать эксплойт PoC. Он ищет сообщения «INVITE» со строкой «m=audio» и срабатывает, когда их больше 128 байт (размер выделенного буфера Realtek SDK) и если ни одно из них не является возвратом каретки.
Пользователям следует проверить, не уязвимо ли их сетевое оборудование, и установить обновление прошивки от производителя, выпущенное после марта, если оно доступно. Помимо этого, организации могут попытаться заблокировать нежелательные запросы UDP.
https://www.bleepingcomputer.com/news/security/exploit-out-for-critical-realtek-flaw-affecting-many-networking-devices/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.