آسیب‌پذیری صد‌ها هزار روتر نسبت به حملات از راه دور بعلت نقص Realtek SDK

یک آسیب‌پذیری جدی که بر روی eCos SDK ساخته شده توسط شرکت سمی‌کانداکتور تایوانی Realtek تأثیر می‌گذارد ، می‌تواند دستگاه‌های شبکه بسیاری از تأمین‌ کنندگان را در معرض حملات از راه دور قرار دهد .

این حفره امنیتی که تحت عنوان CVE-2022-27255 ردیابی می‌شود و دارای درجه «شدت بالا» است ، به‌عنوان یک سرریز بافر مبتنی بر استک توصیف شده است که می‌تواند به مهاجم راه دور اجازه دهد تا در دستگاه‌هایی که از SDK استفاده می‌کنند ، خرابی ایجاد کند یا به اجرای کد دلخواه دست یابد . یک چنین حمله‌ای را می‌توان از طریق رابط WAN با استفاده از پکت‌های SIP ساخته و طراحی شده ، انجام داد .

اساساً Realtek eCos SDK به شرکت‌هایی ارائه می‌شود که روتر‌ها ، اکسس پوینت‌ها و ریپیتر‌هایی که توسط SoC‌های خانواده RTL819x تولید می‌کنند ، ارائه می‌شود . SDK عملکرد‌های پایه روتر ، از جمله اینترفیس مدیریت وب و استک شبکه را پیاده‌ سازی می‌کند . تأمین‌کنندگان می‌توانند در ادامه آن این SDK را ایجاد کنند تا عملکرد‌های سفارشی و نام تجاری خود را به دستگاه اضافه کنند .

مجموعه Realtek در ماه مارس و زمانی که انتشار یک پچ را اعلام کرد ، مشتریان را در مورد آسیب‌پذیری eCos SDK مطلع کرد . با این حال ، این مربوط به OEM‌هایی است که از SDK استفاده می‌کنند تا اطمینان حاصل کنند که پچ در دستگاه‌های کاربر نهایی توزیع می‌شود .

یافته محققین شرکت امنیت سایبری فارادی سکیوریتی مستقر در آرژانتین توسط Realtek برای کشف این آسیب‌پذیری تأیید شده است . محقق فارادی ، اکتاویو جیاناتیمپو ، که در حال ارائه جزئیات یافته‌ها در روز جمعه در کنفرانس DEF CON در لاس وگاس است ، قبل از این رویداد اطلاعاتی را با خبرگزاری‌های حوزه امنیت سایبری به اشتراک گذاشت .

این محقق گفت که این آسیب‌پذیری می‌تواند از راه دور (مستقیماً از اینترنت) برای هک کردن روتر‌های آسیب‌دیده که با تنظیمات پیش‌فرض اجرا می‌شوند مورد سواستفاده قرار گیرد . و نکته قابل توجه اینکه هیچ تعامل کاربری برای بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری مورد نیاز نیست .

وی توضیح داد : «کد آسیب‌پذیر بخشی از استک شبکه است که اگر دستگاه به اینترنت متصل باشد ، مهاجم فقط باید یک پکت ارسال کند تا کنترل دستگاه را در دست بگیرد .»

جیاناتیمپو گفت که آن‌ها تقریباً ۲۰ تأمین‌کننده را شناسایی کرده‌اند که از SDK آسیب‌پذیر برای محصولات خود استفاده می‌کنند ، از جمله Tenda ، Nexxt ، Intelbras و  D-Link . با این حال ، ممکن است تأمین‌کنندگان دیگری نیز وجود داشته باشند که تحت تأثیر این آسیب‌پذیری هستند اما هنوز آن‌ها شناسایی نشده‌اند .

جیاناتیمپو خاطرنشان کرد : «فرآیند شناسایی محصولات OEM آسیب‌دیده به دلیل عدم رؤیت زنجیره تأمین آن‌ها ، بسیار نگران‌کننده است .»

در حالی که هیچ نشانه‌ای مبنی بر سواستفاده از این نقص در فضای سایبری وجود ندارد ، ممکن است تعداد قابل توجهی از دستگاه‌ها به دلیل این آسیب‌پذیری در معرض حملات قرار گیرند ، بنابراین چنین مشکلی ممکن است برای عاملان مخرب بسیار وسوسه‌انگیز باشد .

فارادی جستجوی Shodan را انجام داده و بیش از ۶۰۰۰۰ روتر آسیب‌پذیر را شناسایی کرده است که پنل مدیریت آن‌ها در معرض دید قرار گرفته است . علاوه بر این ، Mercadolibre ، بزرگترین سایت تجارت الکترونیک در آمریکای لاتین ، بر اساس پیشخوان فروش نمایش داده شده در صفحات محصول، ۱۳۰۰۰۰ دستگاه تحت تأثیر این آسیب‌پذیری را فروخته است . همچنین آنطور که در گزارش ها مشاهده گردیده ، ایران نیز در بین مخاطبان این آسیب پذیری قرار دارد .

جیاناتیمپو توضیح داد : «پنل ادمین به طور پیش فرض فعال نیست، بنابراین تعداد کل دستگاه‌های در معرض نمایش باید بیشتر باشد . شناسایی از راه دور روتر‌های آسیب‌دیده مستلزم راه‌اندازی این آسیب‌پذیری است که خارج از محدوده تحقیقاتی ما است .»

عوامل تهدید برای هدف قرار دادن آسیب‌پذیری‌های Realtek SDK در حملات خود شناخته شده‌اند . سال گذشته نیز محققان بهره‌برداری از یک نقص را تنها چند روز پس از افشای آن مشاهده کردند .

بیشتر بخوانید
irsasafe ۱۴۰۱-۰۵-۲۶ 0 دیدگاه

تاثیر باگ جدید KCodes NetUSB بر میلیون ها روتر شرکت‌های مختلف

محققان امنیت سایبری یک نقص با شدت بالا را در کامپوننت KCodes NetUSB که در میلیون‌ها دستگاه روتر‌اند-یوزر شامل Netgear، TP-Link، Tenda، EDiMAX، D-Link، و Western Digital و غیره مشاهده شده است، افشا کرده‌اند.

اساساً KCodes NetUSB یک ماژول کرنل لینوکس است که دستگاه‌های موجود در شبکه محلی را قادر می‌سازد تا خدمات مبتنی بر USB را از طریق IP ارائه دهند. چاپگر‌ها، هارد درایو‌های اکسترنال و درایو‌های فلش متصل به یک سیستم تعبیه شده مبتنی بر لینوکس (به عنوان مثال، روتر) از طریق شبکه با استفاده از این درایور در دسترس هستند.

طبق گزارشی که سنتینل وان با هکرنیوز به اشتراک گذاشته است، نقص امنیتی CVE-۲۰۲۱-۴۵۶۰۸ (امتیاز CVSS: 9.8)، از آنجایی که تحت عنوان یک آسیب‌پذیری سرریز بافر معرفی می‌شود، در صورت سواستفاده موفقیت‌آمیز، می‌تواند به مهاجمان اجازه دهد تا کد را از راه دور در کرنل اجرا کنند و فعالیت‌های مخرب دلخواه خود را انجام دهند.

این آخرین مورد از یک رشته آسیب‌پذیری NetUSB است که در سال‌های اخیر پچ شده است. در می‌ ۲۰۱۵، محققان SEC Consult نقص دیگری در سرریز بافر (CVE-۲۰۱۵-۳۰۳۶) را فاش کردند که می‌تواند منجر به حمله denial-of-service (DoS) یا اجرای کد شود.

سپس در ژوئن ۲۰۱۹، سیسکو تالوس جزئیات دو نقطه ضعف در NetUSB (CVE-۲۰۱۹-۵۰۱۶ و CVE-۲۰۱۹-۵۰۱۷) را فاش کرد که به مهاجم اجازه می‌دهند به‌طور نامطلوبی روتر‌های بی‌سیم Netgear را مجبور به افشای اطلاعات حساس کند و حتی به مهاجم امکان اجرای کد از راه دور را بدهد.

پس از افشای مسئولانه این آسیب‌پذیری‌ها به KCodes در ۲۰ سپتامبر ۲۰۲۱، شرکت تایوانی در ۱۹ نوامبر پچی برای همه تأمین‌کنندگان صادر کرد و پس از آن Netgear بروزرسانی‌های فریمور حاوی اصلاحات آسیب‌پذیری را منتشر نمود.

سنتینل وان از انتشار کد proof-of-concept (PoC) با توجه به این نکته که سایر فروشندگان هنوز در حال ارائه بروزرسانی هستند، خودداری کرده است. اما این شرکت امنیت سایبری به احتمال ظهور یک سواستفاده در فضای سایبری با وجود پیچیدگی فنی مربوطه هشدار داد، و این نکته را خاطر نشان کرد که ضروری است کاربران برای کاهش هر گونه خطر احتمالی، راه‌حل‌های امنیتی را اعمال کنند.

مکس ون آمرونگن، محقق امنیت سایبری، گفت: «از آنجایی که این آسیب‌پذیری در یک کامپوننت شخص ثالث است که مجوز تأمین‌کنندگان مختلف روتر را دارد، تنها راه برای رفع این مشکل، بروزرسانی فریمور روتر در صورت وجود بروزرسانی است. البته مهم است که ابتدا بررسی شود که روتر مد نظر یک مدل از رده خارج نباشد، زیرا بعید است که بروزرسانی برای این آسیب‌پذیری را بتواند دریافت کند».

بیشتر بخوانید
a.fayyazi ۱۴۰۰-۱۰-۲۶ 0 دیدگاه