Realtek: Schwachstelle in SoCs wird aktiv zur Schadcode-Verbreitung missbraucht

Geräte von mindestens 65 verschiedenen Herstellern, in denen bestimmte Wireless-System-on-Chip (SoC) von Realtek stecken, können laut SAM Seamless Network derzeit zur Zielscheibe aktiver, automatisierter Angriffe aus dem Internet werden: Forscher von SAM haben mittels der Sicherheitssoftware des Unternehmens mehrere Fälle registriert, in denen versucht wurde, über eine bekannte Schwachstelle eine Variante der Schadsoftware "Mirai" auf die Geräte zu schleusen. Nähere Details zu Umfang und Erfolg dieser Angriffe nennen die Forscher in ihrer Veröffentlichung allerdings nicht.

Der Sourcecode von Mirai wurde 2016 im Internet veröffentlicht. Seitdem kursieren zahlreiche Varianten, denen gemeinsam ist, dass sie vornehmlich Geräte aus dem IoT-Bereich befallen, um daraus Botnetze zu bilden. Diese werden dann etwa für umfangreiche Distributed-Denial-of-Service-Angriffe (DDoS) verwendet.

Pufferüberlauf mit RCE-Potenzial

Die im Zuge der beobachteten Angriffe missbrauchte kritische Schwachstelle mit der ID CVE-2021-35395 ist Teil einer Sammlung aus mehreren Schwachstellen in Realtek-Wireless-SoCs, die das Unternehmen IoT Inspector entdeckt und im Mai dieses Jahres an Realtek gemeldet hat. heise Security hat die Schwachstellen-Sammlung letzte Woche in einem Beitrag ausführlich thematisiert:

Lesen Sie auch

Realtek: Schwachstellen in Wireless-SoCs betreffen Geräte vieler Hersteller

Wie die übrigen Schwachstellen steckt auch CVE-2021-35395 (CVSS-Score 9.8) in Software Development Kits (SDKs), die Realtek Geräteherstellern, die die verwundbaren Wireless-SoCs verwenden, für die gerätespezifische Firmware-Entwicklung zur Verfügung stellt. Konkret betrifft die Schwachstelle eine HTTP-Webserver-Komponente der SDKs , die ein webbasiertes Management-Interface namens "Boa" beziehungsweise "webs" bereitstellt. Entfernte, unauthentifizierte Angreifer könnten durch Übermittlung speziell präparierter (und extrem langer) Parameter an den Server Pufferüberläufe provozieren.

Laut Realtek können Geräte auf diesem Wege zum Absturz gebracht werden. Einer Beschreibung zu CVE-2021-35395 in der National Vulnerability Database sowie den Ausführungen des SAM-Teams zufolge ist es aber auch möglich, beliebigen Code auf den Geräten ausführen. Im konkreten Fall werde Mirai eingeschleust und das verwundbare Gerät zum Zombie in einem Botnetz. Weitere Details und Indicators of Compromise sind dem Blogeintrag von SAM Seamless Network zu entnehmen.

Angreifbare Geräte und (SDK-)Updates

Realtek hat Mitte August ein Advisory zu den Schwachstellen nebst Informationen zu verfügbaren Patches und Updates veröffentlicht. Das Problem: Da es sich um SDK-Aktualisierungen handelt, sind Endnutzer der betroffenen Geräte darauf angewiesen, dass die Hersteller im nächsten Schritt aktualisierte und abgesicherte Firmware-Versionen für die verwundbaren WLAN-Module bereitstellen.

Die betreffenden SoCs RTL8xxx (Modellnummern: EV-2009-02-06, EV-2010-09-20, EV-2006-07-27, EV-2009-02-06, EV-2010-09-20), RTL8196C (EV-2009-02-06), RTL8186 (EV-2006-07-27) und RTL8671 (EV-2006-07-27, EV-2010-09-20) kommen laut IoT Inspector etwa in VoIP- und Wireless-Routern, Repeatern, IP-Kameras und smarten Beleuchtungssteuerungen zum Einsatz. Konkret seien Produkte von mindestens 65 Herstellern, darunter beispielsweise AsusTEK, Belkin, D-Link, Edimax, Hama, Logitec und Netgear, betroffen. Eine vollständige Liste der bekanntermaßen verwundbaren Geräte sind einem Blogeintrag von IoT Inspector (ganz unten im Appendix) zu entnehmen.

Das SAM-Team nennt als seinen Erkenntnissen zufolge besonders verbreitete Geräte den Netis E1+ Extender sowie die Router Edimax N150, N300 und Repotec RP-WR5444.

Besitzer sollten anhand der CVE-ID 2021-35395 Ausschau nach herstellerspezifischen Updates und Statements halten und die Geräte je nach Typ und Einsatzszenario zusätzlich absichern, vor Zugriffen aus dem Internet schützen oder vorerst komplett den Stecker ziehen.

(ovw)