最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

利用影响许多网络设备的关键Realtek漏洞

网络安全 快米云 来源:快米云 492浏览

已发布利用 Realtek 的 RTL819x 片上系统 (SoC) 影响网络设备的严重漏洞的利用代码,估计数百万。

该漏洞被识别为 CVE-2022-27255,远程攻击者可以利用它来破坏来自各种原始设备制造商 (OEM) 的易受攻击的设备,从路由器和接入点到信号中继器。

无需用户交互

来自阿根廷网络安全公司 Faraday Security 的研究人员在上周的 DEFCON 黑客大会上发现了 Realtek 用于开源 eCos 操作系统的 SDK 中的漏洞,并披露了技术细节。

发现该漏洞的四位研究人员(Octavio Gianatiempo、Octavio Galland、Emilio Couto、Javier Aguinaga)是布宜诺斯艾利斯大学的计算机科学专业学生。

他们的演讲涵盖了导致发现安全问题的全部工作,从选择目标到分析固件和利用漏洞,以及在其他固件映像中自动检测。

CVE-2022-27255是一种基于堆栈的缓冲区溢出,其严重性评分为 9.8(满分 10),使远程攻击者能够通过使用带有恶意 SDP 数据的特制 SIP 数据包执行代码而无需身份验证。

Realtek 在 3 月份解决了这个问题,指出它会影响 rtl819x-eCos-v0.x 系列和 rtl819x-eCos-v1.x 系列,并且可以通过 WAN 接口利用它。

Faraday Security 的四位研究人员开发 了适用于 Nexxt Nebula 300 Plus 路由器的 CVE-2022-27255 的概念验证 (PoC) 漏洞利用代码。

他们还分享了一段视频,显示即使远程管理功能被关闭,远程攻击者也可能破坏设备

研究人员指出,CVE-2022-27255 是一个零点击漏洞,这意味着利用是无声的,不需要用户交互。

利用此漏洞的攻击者只需要易受攻击设备的外部 IP 地址。

几道防线

SANS 研究部主任 Johannes Ullrich 表示,远程攻击者可以利用该漏洞进行以下操作:

使设备崩溃
执行任意代码
为持久性建立后门
重新路由网络流量
拦截网络流量
Ullrich 警告说,如果 CVE-2022-27255 的漏洞利用变成蠕虫,它可能会在几分钟内传播到互联网上。

尽管自 3 月以来就有补丁可用,但Ullrich 警告说,该漏洞影响“许多(数百万)设备”,并且修复不太可能传播到所有设备。

这是因为多家供应商将易受攻击的 Realtek SDK 用于基于 RTL819x SoC 的设备,其中许多供应商尚未发布固件更新。

目前尚不清楚有多少网络设备使用 RTL819x 芯片,但 RTL819xD 版本的 SoC 出现在 60 多家供应商的产品中。其中华硕、贝尔金、Buffalo、D-Link、Edimax、TRENDnet、合勤。

研究人员说:

使用 2022 年 3 月之前围绕 Realtek eCOS SDK 构建的固件的设备易受攻击
即使您不公开任何管理界面功能,您也很容易受到攻击
攻击者可以使用单个 UDP 数据包到任意端口来利用该漏洞
此漏洞可能对路由器的影响最大,但一些围绕 Realtek 的 SDK 构建的物联网设备也可能受到影响
Ulrich 在这里创建了一个 可以检测 PoC 漏洞的Snort 规则。它会查找带有字符串“ m=audio ”的“ INVITE ”消息,并在超过 128 个字节(Realtek SDK 分配的缓冲区大小)并且如果它们都不是回车符时触发。

用户应检查他们的网络设备是否易受攻击,并安装供应商在 3 月之后发布的固件更新(如果有)。除此之外,组织可以尝试阻止未经请求的 UDP 请求。

此 GitHub 存储库中提供了 DEFCON 演示文稿以及漏洞利用的幻灯片,以及 CVE-2022-27255 的检测脚本。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 利用影响许多网络设备的关键Realtek漏洞