影響Realtek Wi-Fi sdk的多個缺陷影響近100萬臺物聯(lián)網(wǎng)設(shè)備

臺灣芯片設(shè)計公司瑞泰克(Realtek)警告稱，其WiFi模塊附帶的三個軟件開發(fā)工具包(SDK)存在4個安全漏洞。至少65家供應(yīng)商生產(chǎn)的近200臺物聯(lián)網(wǎng)設(shè)備使用了這些軟件開發(fā)工具包。

影響Realtek SDK v2.x、Realtek "Jungle" SDK v3.0/v3.1/v3.2/v3.4.x/v3.4T/v3.4T-CT 和 Realtek "Luna" SDK的缺陷直到版本1.3.2，都可能被攻擊者濫用，以最高權(quán)限執(zhí)行任意代碼。

CVE-2021-35392(CVSS 分?jǐn)?shù)：8.1)- 由于不安全地SSDP NOTIFY消息，“WiFi簡單配置”服務(wù)器中的堆緩沖區(qū)溢出漏洞

CVE-2021-35393(CVSS 分?jǐn)?shù)：8.1) - 由于UPnP SUBSCRIBE/UNSUBSCRIBE回調(diào)標(biāo)頭的不安全解析，“WiFi 簡單配置”服務(wù)器存在堆棧緩沖區(qū)溢出漏洞

CVE-2021-35394(CVSS 分?jǐn)?shù)：9.8)-“UDPServer”MP工具中的多個緩沖區(qū)溢出漏洞和任意命令注入漏洞

CVE-2021-35395(CVSS 分?jǐn)?shù)：9.8)- 由于某些過長參數(shù)的不安全副本，HTTP Web 服務(wù)器“boa”中存在多個緩沖區(qū)溢出漏洞影響實現(xiàn)無線功能的設(shè)備，該列表包括住宅網(wǎng)關(guān)、旅行路由器、WiFi中繼器、IP攝像機到智能閃電網(wǎng)關(guān)，甚至是來自AIgital、ASUSTek、Beeline、Belkin、Buffalo、D-等眾多制造商的聯(lián)網(wǎng)玩具Link、Edimax、華為、LG、Logitec、MT-Link、Netis、Netgear、Occtel、PATECH、TCL、Sitecom、TCL、ZTE、Zyxel和Realtek自有路由器陣容。

“通過通用即插即用接聽電話的設(shè)備，我們獲得了198個獨特的指紋。如果我們估計每臺設(shè)備(平均)可能賣了5000萬份，那么受影響的設(shè)備總數(shù)將接近100萬，”研究人員表示。

雖然Realtek“Luna”SDK 1.3.2a版本已經(jīng)發(fā)布了補丁，但建議“Jungle”SDK的用戶支持該公司提供的補丁。

發(fā)現(xiàn)這些漏洞的德國網(wǎng)絡(luò)安全專家在2021年5月向Realtek 披露這些漏洞三個月后于周一發(fā)布的一份報告中表示，這些安全問題在Realtek的代碼庫中已有10多年的時間。

“在產(chǎn)品供應(yīng)商方面，制造商可以訪問Realtek源代碼客戶——讓他們?nèi)菀资艿焦??！毖芯咳藛T說。

隨著工業(yè)互聯(lián)不斷發(fā)展物聯(lián)網(wǎng)設(shè)備激增，網(wǎng)絡(luò)安全風(fēng)險也在增加。根據(jù)調(diào)研機構(gòu)Gartner公司的預(yù)測，到2021年底，全球物聯(lián)網(wǎng)設(shè)備的采用數(shù)量預(yù)計將達到250億臺。根據(jù)麥肯錫公司的調(diào)查，每秒將有127個新的物聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng)，這些設(shè)備上潛在的可利用漏洞助長了不斷增長的攻擊面。

安全漏洞為攻擊者提供了便捷通道，超半數(shù)網(wǎng)絡(luò)安全問題都是由軟件自身的安全漏洞被利用導(dǎo)致的，而在軟件開發(fā)中通過靜態(tài)代碼檢測可以有效減少30%-70%的安全漏洞，提高軟件安全性。由此，建議企業(yè)在加強固件安全的同時，在軟件系統(tǒng)開發(fā)過程中利用靜態(tài)代碼檢測等技術(shù)不斷檢測并修復(fù)系統(tǒng)中的安全漏洞，有助于企業(yè)構(gòu)建穩(wěn)固安全的網(wǎng)絡(luò)根基，從根源處解決網(wǎng)絡(luò)安全問題。Wukong(悟空)靜態(tài)代碼檢測工具，從源碼開始，為您的軟件安全保駕護航!

參讀鏈接：

https://www.woocoom.com/b021.html?id=90cff35ca42d47ed9e9499ddbc4a1abe

https://thehackernews.com/2021/08/multiple-flaws-affecting-realtek-wi-fi.html

https://mp.weixin.qq.com/s/Q8Eo9w5OALkLHefXgnUvzg