Milyonlarca olduğu tahmin edilen, Realtek’in bir çip (SoC) üzerindeki RTL819x sistemine sahip ağ cihazlarını etkileyen kritik bir güvenlik açığı için exploit kodu yayınlandı.
Açık CVE-2022-27255 olarak tanımlandı ve uzaktaki bir saldırgan, yönlendiriciler ve erişim noktalarından sinyal tekrarlayıcılara kadar çeşitli orijinal ekipman üreticilerinin (OEM’ler) savunmasız cihazlarını tehlikeye atmak için bundan yararlanabilir.
Kullanıcı etkileşimi gerekmez
Arjantin’deki siber güvenlik şirketi Faraday Security’den araştırmacılar, açık kaynaklı eCos işletim sistemi için Realtek’in SDK’sındaki güvenlik açığını keşfetti ve teknik detayları açıkladı geçen hafta DEFCON hacker konferansında.
Dört araştırmacı (Octavio Gianatime, Octavian Galland, Emilio Couto, Javier Aguinaga) güvenlik açığını bulma konusunda kredilendirilen Buenos Aires Üniversitesi’ndeki bilgisayar bilimi öğrencileridir.
Sunumları, bir hedef seçmekten bellenimi analiz etmeye ve güvenlik açığından yararlanmaya ve diğer bellenim görüntülerinde algılamayı otomatikleştirmeye kadar güvenlik sorununu bulmaya yönelik tüm çabayı kapsıyordu.
CVE-2022-27255 uzak saldırganların kötü amaçlı SDP verileriyle özel hazırlanmış SIP paketleri kullanarak kimlik doğrulaması olmadan kod yürütmesini sağlayan 10 üzerinden 9,8 önem puanına sahip yığın tabanlı bir arabellek taşması.
Realtek sorunu Mart ayında ele aldı not etmek rtl819x-eCos-v0.x serisini ve rtl819x-eCos-v1.x serisini etkilediğini ve bir WAN arayüzü aracılığıyla istismar edilebileceğini.
Faraday Security’den dört araştırmacı kavram kanıtı (PoC) geliştirdi CVE-2022-27255 kodundan yararlanma Nexxt Nebula 300 Plus yönlendiricilerde çalışır.
Ayrıca uzaktan yönetim özellikleri kapatılsa bile uzaktaki bir saldırganın cihazı tehlikeye atabileceğini gösteren bir video da paylaştılar.
Araştırmacılar, CVE-2022-27255’in sıfır tıklamalı bir güvenlik açığı olduğunu, yani istismarın sessiz olduğunu ve kullanıcıdan herhangi bir etkileşim gerektirmediğini belirtiyor.
Bu güvenlik açığından yararlanan bir saldırganın yalnızca güvenlik açığı bulunan aygıtın harici IP adresine ihtiyacı olacaktır.
Birkaç savunma hattı
SANS Araştırma Dekanı Johannes Ullrich, uzaktaki bir saldırganın aşağıdaki eylemler için güvenlik açığından yararlanabileceğini söylüyor:
- cihazı çökertmek
- keyfi kod yürüt
- kalıcılık için arka kapılar oluşturun
- ağ trafiğini yeniden yönlendir
- ağ trafiğini kesmek
Ullrich, CVE-2022-27255 için bir istismarın bir solucana dönüşmesi durumunda dakikalar içinde internet üzerinden yayılabileceği konusunda uyarıyor.
Mart ayından beri bir yama mevcut olmasına rağmen, Ullrich uyarıyor güvenlik açığının “birçok (milyonlarca) cihazı” etkilediğini ve bir düzeltmenin tüm cihazlara yayılmasının olası olmadığını söyledi.
Bunun nedeni, birden fazla satıcının RTL819x SoC’lere dayalı ekipman için savunmasız Realtek SDK’yı kullanması ve birçoğunun henüz bir ürün yazılımı güncellemesi yayınlamamasıdır.
Kaç ağ cihazının RTL819x yongaları kullandığı belli değil, ancak SoC’nin RTL819xD sürümü 60’tan fazla satıcının ürünlerinde mevcuttu. Bunlar arasında ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet ve Zyxel.
Araştırmacı şunları söylüyor:
- Mart 2022’den önce Realtek eCOS SDK çevresinde yerleşik ürün yazılımı kullanan cihazlar savunmasızdır
- Herhangi bir yönetici arabirimi işlevini ifşa etmeseniz bile savunmasızsınız
- Saldırganlar, güvenlik açığından yararlanmak için rastgele bir bağlantı noktasına tek bir UDP paketi kullanabilir
- Bu güvenlik açığı muhtemelen en çok yönlendiricileri etkileyecek, ancak Realtek’in SDK’sı etrafında oluşturulan bazı IoT cihazları da etkilenebilir.
Ulrich, bir Snort kuralı burada Bu, PoC istismarını tespit edebilir. aranıyor”DAVET ET” dize ile mesajlar “m=ses” ve 128 bayttan fazla olduğunda (Realtek SDK tarafından ayrılan arabelleğin boyutu) ve bunların hiçbiri satır başı değilse tetiklenir.
Kullanıcılar, ağ donanımlarının savunmasız olup olmadığını kontrol etmeli ve varsa, Mart ayından sonra piyasaya sürülen satıcıdan bir ürün yazılımı güncellemesi yüklemelidir. Bunun dışında kuruluşlar, istenmeyen UDP isteklerini engellemeye çalışabilir.
Açıklardan yararlanmalarla birlikte DEFCON sunumu için slaytlar ve CVE-2022-27255 için bir algılama komut dosyası bu GitHub deposunda mevcut.