Уязвимости в SDK Realtek ставят под угрозу оборудование от 65 производителей

Уязвимости в SDK Realtek ставят под угрозу оборудование от 65 производителей

Уязвимости могут затрагивать устройства AsusTEK, Belkin, D-Link, Edimax, Hama, Logitech и Netgear.

Тайваньский производитель чипов Realtek сообщил о четырех уязвимостях в трех SDK своих сопутствующих модулей Wi-Fi, использующихся почти в 200 продуктах от более полусотни поставщиков.

Уязвимости позволяют удаленному неавторизованному атакующему вызывать отказ в обслуживании, выводить из строя устройства и внедрять произвольные команды.

CVE-2021-35392 – переполнение буфера в стеке через UPnP в Wi-Fi Simple Config;

CVE-2021-35393 – переполнения кучи через SSDP в Wi-Fi Simple Config;

CVE-2021-35394 – внедрение команд в инструменте для диагностирования MP Daemon;

CVE-2021-35395 – множественные уязвимости в web-интерфейсе управления.

Первые две уязвимости получили оценку 8,1 балла из максимальных 10 по шкале оценивания опасности CVSS, а вторые – 9,8 балла. Для их эксплуатации злоумышленник должен находиться в той же сети, что и устройство, или иметь доступ к нему через интернет.

Обнаружившая уязвимости немецкая компания IoT Inspector уведомила о них Realtek в мае нынешнего года, и производитель незамедлительно выпустил исправления.

С помощью данных уязвимостей удаленный неавторизованный злоумышленник может полностью скомпрометировать атакуемое устройство и выполнить произвольный код с привилегиями наивысшего уровня.

По словам специалистов, в продуктах более 65 производителей (в том числе AsusTEK, Belkin, D-Link, Edimax, Hama, Logitech и Netgear) используется модуль Realtek RTL819xD с функцией беспроводной точки доступа и одним из уязвимых SDK. В частности, уязвимости затрагивают Realtek SDK v2.x, Realtek “Jungle” SDK v3.0/v3.1/v3.2/v3.4.x/v3.4T/v3.4T-CT и Realtek “Luna” SDK до версии 1.3.2. Первому SDK уже 11 лет и он больше не поддерживается, а для второго готовы исправления, но их придется бэкпортировать. Для новых “Luna” SDK 1.3.2a все патчи полностью готовы.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!