کد حفره امنیتی برای یک نقطه ضعف حیاتی از دستگاههای شبکه با سیستم RTL819x Realtek روی یک تراشه (SoC) که تخمین زده میشود میلیونها دستگاه باشند منتشر شد.
به گزارش تک ناک، این حفره امنیتی بهعنوان CVE-2022-27255 شناسایی شده است و یک مهاجم از راه دور میتواند از آن برای به خطر انداختن دستگاههای آسیبپذیر از تولیدکنندگان تجهیزات اصلی مختلف ، از مسیریابها و نقاط دسترسی گرفته تا تکرارکنندههای سیگنال، سوء استفاده کند.
متخصصان شرکت امنیت سایبری Faraday Security در آرژانتین آسیب پذیری را در SDK Realtek برای سیستم عامل سورس eCos کشف کردند و جزئیات فنی آن را هفته گذشته در کنفرانس هکر DEFCON فاش کردند.
آنچه آنها ارائه کردند تلاش منتهی به یافتن مشکل امنیتی را شامل می شود، از انتخاب یک هدف گرفته تا تجزیه و تحلیل سیستم عامل و سوء استفاده از آسیب پذیری، و تشخیص خودکار در سایر نسخه های سیستم عامل.
CVE-2022-27255 یک سرریز بافر مبتنی بر پشته با امتیاز شدت 9.8 از 10 است که به مهاجمان اجازه میدهد تا با استفاده از بسته های SIP ساخته شده ویژه با داده های SDP مخرب، کد را بدون احراز هویت اجرا کنند
Realtek در ماه مارس به این مشکل پرداخت و خاطرنشان کرد که این مشکل بر سریهای rtl819x-eCos-v0.x و سریهای rtl819x-eCos-v1.x تأثیر میگذارد و میتواند از طریق یک رابط WAN مورد سوء استفاده قرار گیرد.
چهار محقق از Faraday Security کد بهره برداری اثبات مفهوم (PoC) را برای CVE-2022-27255 ایجاد کرده اند که روی روترهای Next Nebula 300 Plus کار می کند. آنها همچنین ویدیویی را به اشتراک گذاشتند که نشان میدهد حتی اگر ویژگیهای مدیریت از راه دور خاموش باشد یک مهاجم از راه دور میتواند دستگاه را به خطر بیاندازد، شد.
محققان خاطرنشان میکنند که CVE-2022-27255 یک آسیبپذیری با کلیک صفر است، به این معنی که نیازی به تعامل کاربر ندارد. مهاجمی که از این حفره امنیتی سوء استفاده میکند، فقط به آدرس IP خارجی دستگاه آسیبپذیر نیاز دارد.
چند خط دفاعی
یوهانس اولریچ، رئیس تحقیقات SANS می گوید که یک مهاجم از راه دور می تواند از آسیب پذیری برای اقدامات زیر سوء استفاده کند:
- دستگاه را خراب کند.
- مسیریابی مجدد ترافیک شبکه
- رهگیری ترافیک شبکه
اولریچ هشدار می دهد که اگر حفره امنیتی برای CVE-2022-27255 به کرم تبدیل شود، می تواند در عرض چند دقیقه در کل اینترنت پخش شود. علیرغم اینکه وصلهای از ماه مارس در دسترس است، Ullrich هشدار میدهد که این آسیبپذیری بر «میلیونها دستگاه» تأثیر میگذارد و بعید است که یک اصلاح در همه دستگاهها منتشر شود.زیرا چندین شرکت از Realtek SDK آسیب پذیر برای تجهیزات مبتنی بر SoC های RTL819x استفاده می کنند و بسیاری از آنها هنوز به روز رسانی سیستم عامل را منتشر نکرده اند.مشخص نیست که چه تعداد از دستگاه های شبکه از تراشه های RTL819x استفاده می کنند، اما نسخه RTL819xD SoC در محصولات بیش از 60 فروشنده وجود داشت. از جمله ASUSTek، Belkin، Buffalo، D-Link، Edimax، TRENDnet و Zyxel.
این محقق می گوید:
دستگاههایی که قبل از مارچ 2022 روی Realtek eCOS SDK ساخته شده بودند، آسیبپذیر هستند.
شما آسیب پذیر هستید حتی اگر هیچ یک از عملکردهای رابط مدیریت را در معرض دید قرار ندهید
مهاجمان ممکن است از یک بسته UDP به یک پورت دلخواه برای سوء استفاده از آسیب پذیری استفاده کنند
این آسیبپذیری احتمالاً بیشتر روی روترها تأثیر میگذارد، اما برخی از دستگاههای اینترنت اشیا که در اطراف Realtek SDK ساخته شدهاند نیز ممکن است تحت تأثیر قرار گیرند.
اولریش یک قانون Snort در اینجا ایجاد کرد که می تواند سوء استفاده PoC را شناسایی کند.این Snort به دنبال پیامهای “INVITE” با رشته “m=audio” میگردد و زمانی که بیش از 128 بایت (اندازه بافر تخصیصیافته توسط Realtek SDK) وجود داشته باشد و اگر هیچکدام از آنها بازگشتی نباشد، راهاندازی میکند.
کاربران باید بررسی کنند که آیا تجهیزات شبکهشان آسیبپذیر است یا خیر و در صورت وجود، یک بهروزرسانی میانافزار را از فروشنده که پس از ماه مارس منتشر شده است، نصب کنند. به غیر از این، سازمانها میتوانند درخواستهای UDP ناخواسته را مسدود کنند.
اسلایدهای ارائه DEFCON به همراه اکسپلویت ها و یک اسکریپت شناسایی برای CVE-2022-27255 در این مخزن GitHub موجود است.
