CVE-2022-27255 – Falha crítica em equipamentos com chip Realtek
Uma séria vulnerabilidade que afeta o eCos SDK feito pela empresa de semicondutores taiwanesa Realtek pode expor os dispositivos de rede de muitos fornecedores a ataques remotos.
A falha de segurança, identificada pelo CVE-2022-27255 e classificada como “alta gravidade”, foi descrita como um estouro de buffer baseado em pilha que pode permitir que um atacante remoto a execução arbitrária de código em dispositivos que usam o SDK. Um ataque pode ser realizado através da interface WAN usando pacotes SIP especialmente criados.
Embora tenha sido divulgada em março pela fabricante, a vulnerabilidade ganhou notoriedade após a sua apresentação na conferência de segurança DefCon 2022.
A vulnerabilidade por ter os seguintes efeitos sobre o dispositivo:
- travar o dispositivo
- executar código arbitrário
- estabelecer backdoors para persistência
- redirecionar o tráfego de rede
- interceptar tráfego de rede
Um dos pesquisadores envolvidos na descoberta da falha afirma que cerca de 60 fornecedores usam o SDK vulnerável para seus produtos, incluindo ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet, Zyxel, Tenda, Nexxt e Intelbras . No entanto, pode haver outros fornecedores afetados que precisam ser identificados.
Dispositivos afetados:
Ainda não há uma lista de dispositivos afetados.
Mitigação:
Aplicar regras de segurança em firewalls que não utilizem o chip afetado.
Aplicação da seguinte regra Snort ou equivalente:
alert udp any any -> any any (sid:1000000; \
msg:"Realtek eCOS SDK SIP Traffic Exploit CVE-2022-27255"; \
content: "invite"; depth: 6; nocase; \
content: "m=audio "; \
isdataat: 128,relative; content:!"|0d|"; within: 128;)
A regra procura mensagens “INVITE” que contenham a string “m=audio”. Ele é acionado se houver mais de 128 bytes seguindo a string (128 bytes é o tamanho do buffer alocado pelo Realtek SDK) e se nenhum desses bytes for um retorno de carro (CR).