BleepingComputer网站披露,Realtek发布严重漏洞影响数百万使用RealtekRTL819x片上系统(SoC)的网络设备。该漏洞被跟踪为CVE-2022-27255,远程攻击者可以利用该漏洞来破坏来自各种原始设备制造商(OEM)的易受攻击的设备。据悉,CVE-2022-27255漏洞是由阿根廷网络安全公司FaradaySecurity的研究人员在Realtek的开源eCos操作系统SDK中发现的,并在DEFCON黑客大会上披露了详细的技术细节。CVE-2022-27255是一个基于堆栈的缓冲区溢出漏洞,严重性评分为9.8(满分10)。远程攻击者可以使用带有恶意SDP数据的特制SIP数据包任意执行代码。验证。此外,攻击者可以通过WAN接口利用此漏洞。早在3月份,瑞昱就已经解决了该漏洞,并指出该漏洞主要影响rtl819x-eCos-v0.x系列和rtl819x-eCos-v1.x系列产品。FaradaySecurity的四名研究人员开发了CVE-2022-27255的概念验证(PoC)漏洞利用代码,可用于NexxtNebula300Plus路由器。研究人员还分享了一段视频,展示远程攻击者如何在远程管理功能关闭的情况下破坏设备。视频链接:https://vimeo.com/740134624?embedded=true&source=video_title&owner=52361365最后,研究人员指出,攻击者只需使用易受攻击设备的外部IP地址即可利用CVE-2022-27255漏洞,这意味着不需要与用户交互。注:发现该漏洞的四位研究人员分别是布宜诺斯艾利斯大学计算机科学专业的学生OctavioGianatiempo、OctavioGalland、EmilioCouto和JavierAguinaga。存在几道防线根据SANS研究总监JohannesUllrich的说法,远程攻击者可以利用CVE-2022-27255漏洞来:导致设备崩溃执行任意代码建立持久的后门重新路由网络流量拦截网络流量已打补丁3月发布,但Ullrich强调,该漏洞影响数百万设备,很难将补丁传播到所有设备进行修复。如果CVE-2022-27255漏洞成为蠕虫病毒,可以在短短几分钟内在互联网上传播。多家供应商正在为基于RTL819xSoC的设备使用易受攻击的RealtekSDK,其中许多尚未发布固件更新。目前还不清楚有多少网络设备使用RTL819x芯片,但SoC的RTL819xD版本出现在60多家供应商的产品中,包括Asus、Belkin、Buffalo、D-Link、Edimax、TRENDnet和Zyxel。研究人员的观点:2022年3月之前使用围绕RealtekeCOSSDK构建的固件的设备容易受到攻击;即使用户不公开任何管理界面功能,用户也容易受到攻击;攻击者可以使用单个UDP数据包到任意端口来利用该漏洞;该漏洞影响最大的可能是路由器,但部分基于RealtekSDK的物联网设备也可能受到影响。安全专家建议用户尽快检查自己的网络设备是否存在漏洞,如果发现,立即安装厂商发布的固件更新。除其他外,组织可以尝试阻止未经请求的UDP请求。参考链接:https://www.bleepingcomputer.com/news/security/exploit-out-for-critical-realtek-flaw-affecting-many-networking-devices/
