Este exploit permite explotar una vulnerabilidad crítica de Realtek que afecta miles de dispositivos

Recientemente han publicado un código de explotación para una vulnerabilidad crítica que afecta a los dispositivos de red con el sistema en un chip (SoC) RTL819x de Realtek. Según las estimaciones, son millones de dispositivos afectados.

La vulnerabilidad se ha identificado como CVE-2022-27255 y un atacante remoto podría explotarla para comprometer dispositivos vulnerables de varios fabricantes de equipos originales (OEM). Los dispositivos afectados van desde enrutadores y puntos de acceso hasta repetidores de señal.

No se necesita interacción del usuario

Investigadores de la empresa de ciberseguridad Faraday Security en Argentina descubrieron la vulnerabilidad en el SDK de Realtek para el sistema operativo de código abierto eCos. Además, revelaron los detalles técnicos la semana pasada en la conferencia de hackers DEFCON.

Los cuatro investigadores (Octavio Gianatiempo, Octavio Galland, Emilio Couto, Javier Aguinaga) a los que se atribuye el hallazgo de la vulnerabilidad son estudiantes de informática de la Universidad de Buenos Aires.

Su presentación cubrió todo el esfuerzo que llevó a encontrar el problema de seguridad, desde elegir un objetivo hasta analizar el firmware y explotar la vulnerabilidad, y automatizar la detección en otras imágenes de firmware.

CVE-2022-27255 es un desbordamiento de búfer con una puntuación de gravedad de 9.8 sobre 10. Esta permite a atacantes remotos ejecutar código sin autenticación mediante el uso de paquetes SIP especialmente diseñados con datos SDP maliciosos.

Realtek abordó el problema en marzo y señaló que afecta a las series rtl819x-eCos-v0.x y rtl819x-eCos-v1.x y que podría explotarse a través de una interfaz WAN.

Los cuatro investigadores de Faraday Security han desarrollado un  código de explotación de prueba de concepto (PoC) para CVE-2022-27255. El PoC funciona en los enrutadores Nexxt Nebula 300 Plus.

Ellos también compartieron un video que muestra que un atacante remoto podría comprometer el dispositivo incluso si las funciones de administración remota están desactivadas.

Los investigadores señalan que CVE-2022-27255 es una vulnerabilidad de cero clics. En otras palabras, la explotación es silenciosa y no requiere interacción por parte del usuario.

Un atacante que explote esta vulnerabilidad solo necesitaría la dirección IP externa del dispositivo vulnerable.

Pocas líneas de defensa

El investigador de seguridad Johannes Ullrich dice que un atacante remoto podría aprovechar la vulnerabilidad para las siguientes acciones:

• Bloquear el dispositivo
• Ejecutar código arbitrario
• Establecer puertas traseras para la persistencia
• Redirigir el tráfico de red
• Interceptar el tráfico de la red

Ullrich advierte que si un exploit para CVE-2022-27255 se convierte en un gusano, podría propagarse por Internet en minutos.

A pesar de que un parche está disponible desde marzo, Ullrich advierte que la vulnerabilidad afecta a “muchos (millones) de dispositivos”. Además, es poco probable que una solución se propague a todos los dispositivos.

Esto se debe a que varios proveedores utilizan el SDK vulnerable de Realtek para equipos basados ​​en SoC RTL819x y muchos de ellos aún no han publicado una actualización de firmware.

No está claro cuántos dispositivos de red usan chips RTL819x, pero la versión RTL819xD del SoC está presente en productos de más de 60 proveedores. Entre ellos ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet y Zyxel.

El investigador dice que:

• Los dispositivos que usan firmware construido alrededor del Realtek eCOS SDK antes de marzo de 2022 son vulnerables
• Eres vulnerable incluso si no expones ninguna funcionalidad de la interfaz de administración
• Los atacantes pueden usar un solo paquete UDP en un puerto arbitrario para aprovechar la vulnerabilidad
• Es probable que esta vulnerabilidad afecte más a los enrutadores, pero algunos dispositivos IoT construidos alrededor del SDK de Realtek también pueden verse afectados.

Snort

Ulrich creó aquí una regla de Snort  que puede detectar el exploit PoC. Busca mensajes “INVITE” con la cadena “m=audio” y se activa cuando hay más de 128 bytes (tamaño del búfer asignado por Realtek SDK) y si ninguno de ellos es un retorno de carro.

Los usuarios deben verificar si su equipo de red es vulnerable e instalar una actualización de firmware del proveedor lanzada después de marzo, si está disponible. Aparte de esto, las organizaciones podrían intentar bloquear las solicitudes UDP no solicitadas.

Las diapositivas para la presentación de DEFCON junto con los exploits y un script de detección para CVE-2022-27255 están disponibles en este repositorio de GitHub.