-
09/04/2020
-
85
-
556 bài viết
Khẩn: Xuất hiện PoC lỗ hổng Realtek nghiêm trọng ảnh hưởng nhiều thiết bị mạng
Mã khai thác lỗ hổng nghiêm trọng ảnh hưởng đến các thiết bị mạng sử dụng hệ thống trên chip (SoC) RTL819x của Realtek đã được công bố, ước tính có hàng triệu thiết bị bị ảnh hưởng bởi lỗ hổng này.
Lỗ hổng được gán mã định danh CVE-2022-27255, có thể cho phép kẻ tấn công từ xa xâm nhập các thiết bị tồn tại lỗ hổng từ các nhà sản xuất thiết bị gốc (OEM) khác nhau, từ bộ đinh tuyến, điểm truy cập tới signal repeater.
Các nhà nghiên cứu từ công ty an ninh mạng Faraday Security đã phát hiện ra lỗ hổng trong SDK của Realtek dành cho hệ điều hành eCos mã nguồn mở và tiết lộ các chi tiết kỹ thuật tại hội nghị hacker DEFCON đầu tháng 8.
CVE-2022-27255 là lỗi tràn bộ đệm dựa trên ngăn xếp với điểm CVSS là 9,8 trên 10. Lỗ hổng cho phép kẻ tấn công từ xa thực thi mã mà không cần xác thực bằng cách sử dụng các gói SIP được chế tạo đặc biệt có chứa dữ liệu SDP độc hại.
Realtek đã giải quyết lỗ hổng vào tháng 3 năm nay. Hãng cũng lưu ý rằng lỗi hưởng đến seri rtl819x-eCos-v0.x, seri rtl819x-eCos-v1.x và nó có thể bị khai thác thông qua giao diện WAN.
Video PoC khai thác lỗ hổng cho thấy kẻ tấn công từ xa có thể xâm nhập thiết bị ngay cả khi các tính năng quản lý từ xa bị tắt. Các nhà nghiên cứu lưu ý rằng CVE-2022-27255 là một lỗ hổng zero-click, có nghĩa là việc khai thác diễn ra im lặng và không cần người dùng tương tác. Hacker chỉ cần địa chỉ IP bên ngoài của thiết bị tồn tại lỗ hổng.
Chuyên gia an ninh mạng cho biết kẻ tấn công từ xa có thể khai thác lỗ hổng cho các hành động sau:
- Gây lỗi thiết bị
- Thực thi mã tùy ý
- Thiết lập backdoor
- Định tuyến lại lưu lượng mạng
- Bắt chặn lưu lượng mạng
Chuyên gia cũng cảnh báo rằng nếu mã khai thác CVE-2022-27255 biến thành một worm, nó có thể lây lan trên internet trong vài phút.
Mặc dù đã có bản vá từ tháng 3, lỗ hổng vẫn ảnh hưởng đến "hàng triệu thiết bị" và nhiều khả năng bản vá lỗi không đến được tất cả các thiết bị. Điều này là do nhiều nhà cung cấp sử dụng Realtek SDK chứa lỗ hổng cho thiết bị của mình sản xuất và vẫn chưa đưa ra bản cập nhật.
Không rõ có bao nhiêu thiết bị mạng sử dụng chip RTL819x nhưng một điều chắc chắn là RTL819xD có mặt trong các sản phẩm của hơn 60 nhà cung cấp. Trong số đó có ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet và Zyxel.
Các thiết bị sử dụng firmware được xây dựng dựa trên Realtek eCOS SDK trước tháng 3 năm 2022 đều có nguy cơ bị tấn công.
Một hệ thống có thể bị tấn công ngay cả khi không để lộ bất kỳ chức năng nào của giao diện quản trị viên. Những kẻ tấn công có thể sử dụng một gói UDP duy nhất đến một port tùy ý để khai thác lỗ hổng.
Lỗ hổng có thể sẽ ảnh hưởng nhiều nhất đến bộ định tuyến, nhưng một số thiết bị IoT được xây dựng dựa trên SDK của Realtek cũng có thể bị ảnh hưởng.
Các chuyên gia đã tạo ra luật Snort giúp phát hiện hành vi khai thác lỗ hổng. Cụ thể, luật này sẽ thực hiện tìm kiếm các thông báo "INVITE" với chuỗi "m = audio" và kích hoạt nếu có nhiều hơn 128 byte (kích thước của bộ đệm được Realtek SDK phân bổ) và nếu không có thông báo nào là thông báo xuống dòng (carriage return). Chi tiết cập nhật vui lòng tham khảo tại đây.
Chuyên gia của WhiteHat cho biết: "Trong những năm trở lại đây, thiết bị định tuyến được các nhóm hacker đặc biệt quan tâm và đầu tư nhiều thời gian để tìm ra các zero-day. Với vai trò quan trọng trong hệ thống mạng, các bộ định tuyến cung cấp cho hacker quyền truy cập vào mạng nội bộ cũng như các dải mạng quan trọng. Việc khai thác các thiết bị định tuyến thường sẽ chỉ ảnh hưởng đến 1 hãng hoặc một dòng sản phẩm nhưng nếu hướng khai thác sang các SDK, thư viện mà các hãng sử dụng để xây dựng sản phẩm của mình thì sẽ gây ra hậu quả rất lớn với phạm vi bị ảnh hưởng lên tới hàng triệu thiết bị cũng như phải mất rất nhiều thời gian để các hãng đưa ra được các bản cập nhật".
Người dùng nên kiểm tra xem thiết bị mạng của họ có tồn tại nguy cơ bị tấn công hay không và cài đặt bản cập nhật firmware từ nhà cung cấp phát hành sau tháng 3. Ngoài ra, các tổ chức có thể chặn các yêu cầu UDP không mong muốn.
Mặc dù đã có bản vá từ tháng 3, lỗ hổng vẫn ảnh hưởng đến "hàng triệu thiết bị" và nhiều khả năng bản vá lỗi không đến được tất cả các thiết bị. Điều này là do nhiều nhà cung cấp sử dụng Realtek SDK chứa lỗ hổng cho thiết bị của mình sản xuất và vẫn chưa đưa ra bản cập nhật.
Không rõ có bao nhiêu thiết bị mạng sử dụng chip RTL819x nhưng một điều chắc chắn là RTL819xD có mặt trong các sản phẩm của hơn 60 nhà cung cấp. Trong số đó có ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet và Zyxel.
Các thiết bị sử dụng firmware được xây dựng dựa trên Realtek eCOS SDK trước tháng 3 năm 2022 đều có nguy cơ bị tấn công.
Một hệ thống có thể bị tấn công ngay cả khi không để lộ bất kỳ chức năng nào của giao diện quản trị viên. Những kẻ tấn công có thể sử dụng một gói UDP duy nhất đến một port tùy ý để khai thác lỗ hổng.
Lỗ hổng có thể sẽ ảnh hưởng nhiều nhất đến bộ định tuyến, nhưng một số thiết bị IoT được xây dựng dựa trên SDK của Realtek cũng có thể bị ảnh hưởng.
Các chuyên gia đã tạo ra luật Snort giúp phát hiện hành vi khai thác lỗ hổng. Cụ thể, luật này sẽ thực hiện tìm kiếm các thông báo "INVITE" với chuỗi "m = audio" và kích hoạt nếu có nhiều hơn 128 byte (kích thước của bộ đệm được Realtek SDK phân bổ) và nếu không có thông báo nào là thông báo xuống dòng (carriage return). Chi tiết cập nhật vui lòng tham khảo tại đây.
Chuyên gia của WhiteHat cho biết: "Trong những năm trở lại đây, thiết bị định tuyến được các nhóm hacker đặc biệt quan tâm và đầu tư nhiều thời gian để tìm ra các zero-day. Với vai trò quan trọng trong hệ thống mạng, các bộ định tuyến cung cấp cho hacker quyền truy cập vào mạng nội bộ cũng như các dải mạng quan trọng. Việc khai thác các thiết bị định tuyến thường sẽ chỉ ảnh hưởng đến 1 hãng hoặc một dòng sản phẩm nhưng nếu hướng khai thác sang các SDK, thư viện mà các hãng sử dụng để xây dựng sản phẩm của mình thì sẽ gây ra hậu quả rất lớn với phạm vi bị ảnh hưởng lên tới hàng triệu thiết bị cũng như phải mất rất nhiều thời gian để các hãng đưa ra được các bản cập nhật".
Người dùng nên kiểm tra xem thiết bị mạng của họ có tồn tại nguy cơ bị tấn công hay không và cài đặt bản cập nhật firmware từ nhà cung cấp phát hành sau tháng 3. Ngoài ra, các tổ chức có thể chặn các yêu cầu UDP không mong muốn.
Nguồn: Bleeping Computer