Критическая уязвимость в чипе Realtek затрагивает миллионы маршрутизаторов и IoT-устройств

На модерации Отложенный

Эксперты выпустили PoC-эксплойт для уязвимости, который может распространиться по сети за минуту.

Исследователи  разработали эксплойт для критической уязвимости , затрагивающей миллионы сетевых устройств на чипе Realtek RTL819x. Уязвимость CVE-2022-27255 позволяет удаленному злоумышленнику взломать различные уязвимые устройства: от маршрутизаторов и точек доступа до повторителей сигналов.  

     Специалисты из ИБ-компании Faraday Security обнаружили уязвимость в Realtek SDK для операционной системы с открытым исходным кодом eCos и  раскрыли технические подробности  на хакерской конференции DEF CON.  

     Уязвимость переполнения буфера стека  CVE-2022-27255  с оценкой CVSS: 9,8 позволяет удаленному неавторизованному киберпреступнику выполнять код, используя специально созданные SIP-пакеты с вредоносными данными SDP. Более того, скомпрометировать устройство можно даже если функции удаленного управления отключены.  

     Эксперты  разработали эксплойт  для CVE-2022-27255, который работает на маршрутизаторах Nexxt Nebula 300 Plus. По словам специалистов, CVE-2022-27255 представляет собой zero-click уязвимость. Это означает, что эксплуатация ошибки незаметна и не требует вмешательства пользователя. Злоумышленнику требуется только внешний IP-адрес уязвимого устройства. Более того, хакер может отправлять один UDP-пакет на произвольный порт для использования уязвимости.  

     Realtek  заявила , что уязвимость затрагивает серии rtl819x-eCos-v0.x и rtl819x-eCos-v1.x, а также добавила, что ее можно использовать через WAN-интерфейс.

Эта ошибка больше всего повлияет на маршрутизаторы, но также могут быть затронуты некоторые IoT-устройства, построенные на основе Realtek SDK.  

     Йоханнес Ульрих, декан по исследованиям в образовательном центре SANS, заявил, что удаленный злоумышленник может использовать уязвимость для следующих действий:   

  • вызвать сбой устройства;
  • выполнить произвольный код;
  • установить бэкдоры для сохранения в системе;
  • перенаправить сетевой трафик;
  • перехватить сетевой трафик.

     По словам Ульриха, если  эксплойт для CVE-2022-27255     превратится в червя, он может распространиться по Интернету за считанные минуты.  

     Несмотря на то, что исправление доступно с марта, уязвимость затрагивает «миллионы устройств» и исправление будет доступно не для всех из них. Это связано с тем, что несколько поставщиков используют уязвимый Realtek SDK для оборудования на базе чипа RTL819x, и многие из них еще не выпустили обновление. Неясно, сколько сетевых устройств используют RTL819x. Однако, этот чип присутствует в продуктах более 60 поставщиков. Среди них ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet и Zyxel.  

     Ульрих создал  правило Snort,  которое может обнаруживать PoC-эксплойт. Пользователям следует убедиться, что их сетевое оборудование неуязвимо, и установить обновление прошивки от производителя. Помимо этого, организации могут заблокировать нежелательные UDP-запросы.