RealtekWi-Fi模块中的多个安全漏洞可劫持无线通信RealtekRTL8710C模块基于CortexM3处理器。RTL8710C不含ADC/DAC模块,GPIO端口少,能耗低。广泛应用于农业、能源、游戏、健康、智能家居等设备领域。近日,研究人员在RealtekRTL8170CWi-Fi模块中发现了多个安全漏洞。利用这些漏洞的攻击者可以提升受害者设备的权限并劫持无线网络通信。该漏洞存在于该模块的WPA2握手机制中。研究人员发现其握手机制容易受到两个基于堆栈的缓冲区溢出漏洞的影响。漏洞CVE编号为CVE-2020-27301和CVE-2020-27302。利用这两个漏洞需要攻击者知道网络的PSK,然后攻击者可以利用它在WPA2客户端上远程执行代码。在CVE-2020-27301漏洞中,在WPA24次握手中,在EAPOL帧中生成密钥交换。在密钥交换期间,RealtekWPA2客户端将调用ClientEAPOLKeyRecvd来处理数据包。而ClientEAPOLKeyRecvd会调用DecGTK()函数来解密GTK(GroupTemporalKey)。在DecGTK()中,将调用不安全的AES_UnWRAP()。漏洞存在于该函数的调用中。该漏洞影响所有使用该组件连接到WiFi网络的嵌入式设备和物联网设备。攻击者需要利用该漏洞与受害设备处于同一WiFi网络,攻击者成功利用该漏洞可完全控制WiFi模块,并可能获得嵌入式设备操作系统的root权限。CVE-2020-27302漏洞CVE-2020-27302漏洞是WPA2密钥分析中的堆栈溢出漏洞,CVSS评分为8.0。研究人员通过修改开源hostapd来利用该漏洞。在PoC中,攻击者充当AP并向通过WPA2连接的任何客户端发送恶意加密的GTK:https://d3u9fi9s7csg1s.cloudfront.net/files/2021-06/Exploiting%20Realtek%20vuln%20-%20take2%20-%20edited.mp4PoC视频演示了堆栈溢出漏洞并最终用无效地址(0x95f98179)覆盖了返回地址。因为缓存是用AES解密的,所以这个地址是随机的,由于攻击者知道所有的加密参数,所以他可以精确控制返回地址。更多技术细节参见:https://www.vdoo.com/blog/realtek-wifi-vulnerabilities-zero-day本文翻译自:https://thehackernews.com/2021/06/researchers-warn-关键-bugs.html
