Groot aantal routers met Realtek-chip kwetsbaar voor aanvallen

[Captain Kirk]

Een groot aantal routers die zijn voorzien van een Realtek-chip zijn kwetsbaar voor aanvallen waardoor het mogelijk is om de apparaten plat te leggen of in het ergste geval op afstand over te nemen en een firmware-update is nog niet beschikbaar. Het versturen van een speciaal geprepareerde sip-pakkett naar een willekeurige poort is voldoende en ook apparaten waarvan de beheerdersinterface niet toegankelijk is lopen risico. Het probleem speelt onder andere bij routers van D-Link en Zyxel.

De kwetsbaarheid (CVE-2022-27255) werd vorige week tijdens de DefCon-conferentie in Las Vegas door onderzoekers van securitybedrijf Faraday Security besproken. Het beveiligingslek is aanwezig in de Realtek software development kit (SDK) die fabrikanten gebruiken voor routers voorzien van de RTL819x-serie Realtek-chips. Deze SDK wordt gebruikt voor basale routerfunctionaliteit, zoals de beheerdersinterface en de netwerkstack.

Fabrikanten kunnen vervolgens hun eigen features aan het apparaat toevoegen. Een kwetsbaarheid in de eCos SDK van Realtek maakt het mogelijk om de apparaten op afstand te laten crashen of overnemen. Het probleem is aanwezig met de standaardinstellingen en vereist alleen dat het apparaat vanaf internet toegankelijk is. Er is geen interactie van gebruikers vereist en ook hoeft de webinterface niet toegankelijk te zijn om een apparaat aan te vallen.

Voor zover nu bekend zijn 31 modellen van tenminste negentien leveranciers kwetsbaar, waaronder Tenda, D-Link, Zyxel, Intelbras, Nisuta en MT-Link. De onderzoekers vonden ruim 63.000 potentieel kwetsbare routers waarvan het adminpanel vanaf internet toegankelijk is, maar zoals gezegd is dit niet vereist voor een succesvolle aanval.

Realtek kwam eind maart met een patch voor het probleem (pdf). Routerleveranciers moeten deze patch echter in hun routerfirmware verwerken en vervolgens een firmware-update uitbrengen. Veel leveranciers hebben echter nog geen update uitgebracht, aldus de onderzoekers in hun presentatie (pdf). Gebruikers die zich willen beschermen kunnen ongevraagde udp-requests blokkeren, zo stelt het Internet Storm Center.

 

bron: https://www.security.nl