Уязвимость в чипе Realtek затронула миллионы маршрутизаторов и IoT-устройств

[Artifact]

Эксперты выпустили PoC-эксплойт для уязвимости, который может распространиться по сети за минуту.

Исследователи разработали эксплойт для критической уязвимости , затрагивающей миллионы сетевых устройств на чипе Realtek RTL819x. Уязвимость CVE-2022-27255 позволяет удаленному злоумышленнику взломать различные уязвимые устройства: от маршрутизаторов и точек доступа до повторителей сигналов.
Специалисты из ИБ-компании Faraday Security обнаружили уязвимость в Realtek SDK для операционной системы с открытым исходным кодом eCos и раскрыли технические подробности на хакерской конференции DEF CON.
Уязвимость переполнения буфера стека CVE-2022-27255 с оценкой CVSS: 9,8 позволяет удаленному неавторизованному киберпреступнику выполнять код, используя специально созданные SIP-пакеты с вредоносными данными SDP. Более того, скомпрометировать устройство можно даже если функции удаленного управления отключены.
Эксперты разработали эксплойт для CVE-2022-27255, который работает на маршрутизаторах Nexxt Nebula 300 Plus. По словам специалистов, CVE-2022-27255 представляет собой zero-click уязвимость. Это означает, что эксплуатация ошибки незаметна и не требует вмешательства пользователя. Злоумышленнику требуется только внешний IP-адрес уязвимого устройства. Более того, хакер может отправлять один UDP-пакет на произвольный порт для использования уязвимости.
Realtek заявила , что уязвимость затрагивает серии rtl819x-eCos-v0.x и rtl819x-eCos-v1.x, а также добавила, что ее можно использовать через WAN-интерфейс. Эта ошибка больше всего повлияет на маршрутизаторы, но также могут быть затронуты некоторые IoT-устройства, построенные на основе Realtek SDK.
Йоханнес Ульрих, декан по исследованиям в образовательном центре SANS, заявил, что удаленный злоумышленник может использовать уязвимость для следующих действий:

• вызвать сбой устройства;

• выполнить произвольный код;

• установить бэкдоры для сохранения в системе;

• перенаправить сетевой трафик;

• перехватить сетевой трафик.

По словам Ульриха, если эксплойт для CVE-2022-27255 превратится в червя, он может распространиться по Интернету за считанные минуты.
Несмотря на то, что исправление доступно с марта, уязвимость затрагивает «миллионы устройств» и исправление будет доступно не для всех из них. Это связано с тем, что несколько поставщиков используют уязвимый Realtek SDK для оборудования на базе чипа RTL819x, и многие из них еще не выпустили обновление. Неясно, сколько сетевых устройств используют RTL819x. Однако, этот чип присутствует в продуктах более 60 поставщиков. Среди них ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet и Zyxel.
Ульрих создал правило Snort, которое может обнаруживать PoC-эксплойт. Пользователям следует убедиться, что их сетевое оборудование неуязвимо, и установить обновление прошивки от производителя. Помимо этого, организации могут заблокировать нежелательные UDP-запросы.