备注:Realtek即瑞昱(yù)半导体。成立于1987年,位于有着中国台湾“硅谷”之称的新竹科学园区,凭借当年几位年轻工程师的热情与毅力,走过艰辛的草创时期到今日具世界领导地位的专业IC设计公司,瑞昱半导体披荆斩棘,展现旺盛的企图心与卓越的竞争力,开发出广受全球市场肯定与欢迎的高性能、高品质与高经济效益的IC解决方案。瑞昱半导体自成立以来一直保持稳定的成长,归功于瑞昱对产品/技术研发与创新的执着与努力,同时也归因于瑞昱的优良传统。
IoT Inspector 研究实验室在RTL819x SoC 中使用的瑞昱(Realtek) AP-Router “Jungle” SDK 中发现了四个高危漏洞,这些漏洞可能会影响数百万个 WiFi 路由器和dongles。
攻击者可以利用漏洞进行网络攻击,例如,无需对设备进行物理访问,攻击者可以通过生成缓冲区或堆栈溢出,以帮助他访问系统并执行他自己的代码。瑞昱发布了一个公告(PDF),其中包含了这四个漏洞的补丁集,所以如果方便的话,你应该尽快升级固件。
四个漏洞总结:
- CVE-2021-35392 – 瑞昱Jungle SDK v2.x 至 v3.4.14B 提供了一个名为 wscd 或 mini_upnpd 的“WiFi 简单配置”服务器,该服务器使用了 UPnP 和 SSDP 协议。由于通过收到的 M-SEARCH 消息 ST 标头不安全地生成 SSDP NOTIFY 消息,该服务器容易受到堆缓冲区溢出的影响。
- CVE-2021-35393 – 同样影响到“WiFi 简单配置”服务器(wscd或mini_upnpd),但此 CVE 报告的是堆栈缓冲区溢出漏洞的漏洞,该漏洞是由于对 UPnP 订阅/取消订阅回调标头的不安全解析而存在的。成功利用此漏洞允许未经身份验证的远程攻击者在受影响的设备上执行任意代码。
- CVE-2021-35394 – 瑞昱Jungle SDK v2.x 至 v3.4.14B 提供了一个名为“MP Daemon”的诊断工具,通常编译为“UDPServer”二进制文件。该二进制文件受多个内存损坏漏洞和任意命令注入漏洞的影响,远程未经身份验证的攻击者可以利用这些漏洞。
- CVE-2021-35395 – 瑞昱Jungle SDK 版本 v2.x 至 v3.4.14B 提供了一个暴露了管理/配置界面的 HTTP Web 服务器。该界面有两个版本可用,基于 Go-Ahead 的“webs ”和基于 Boa 的“ boa ”都因为以下问题的影响而变得易受攻击:
- 由于提交 url 参数的不安全副本,formRebootCheck 中的堆栈缓冲区溢出
- 由于提交 url 参数的不安全副本,formWsc 中的堆栈缓冲区溢出
- 由于提交 url 参数的不安全副本,formWlanMultipleAP 中的堆栈缓冲区溢出
- 由于 ifname 参数的不安全副本,formWlSiteSurvey 中的堆栈缓冲区溢出
- 由于主机名参数的不安全副本,formStaticDHCP 中的堆栈缓冲区溢出
- 由于“peerPin”参数的不安全副本,formWsc 中的堆栈缓冲区溢出
- 通过 sysCmd 参数在 formSysCmd 中执行任意命令
- 通过“peerPin”参数在 formWsc 中注入任意命令
这些漏洞的可利用性将取决于瑞昱SDK 网络服务器使用的身份验证机制和功能的具体实现。如果成功利用了这些漏洞将允许远程攻击者在设备上获得任意代码执行权。
IoT Inspector 研究实验室在其团队发现漏洞时提供了漏洞的完整详细信息,并在大约三个月前通知瑞昱给这些漏洞打补丁。你还可以在这份漏洞报告中找到一个免费工具来检查是否存在瑞昱固件漏洞(但是需要注册)。
瑞昱RTL819x 处理器用于住宅网关、旅行路由器、Wi-Fi 中继器、IP 摄像头、智能照明网关和一些联网玩具。大多数产品很可能不会更新,尤其是其中便宜的路由器很少会升级,因为固件更新(如果可行的话)通常是一个手动过程。OpenWrt 项目中没有关于这些漏洞的讨论,估计是开源 Linux 操作系统很可能不会受到影响,因为它不依赖于瑞昱的SDK。
感谢Jim提供的信息。
文章翻译者:Taylor Lee,瑞科慧联(RAK)高级嵌入式开发工程师,有丰富的物联网和开源软硬件经验,熟悉行业主流软硬件框架,对行业发展动向有着敏锐的感知力和捕捉能力。