มีการเปิดเผย Exploit code สำหรับโจมตีช่องโหว่ระดับ Critical บนอุปกรณ์ Network ที่ใช้ RTL819x system on a chip (SoC) ของ Realtek ทำให้อาจส่งผลกระทบกับอุปกรณ์ต่าง ๆ จำนวนมาก
ช่องโหว่นี้มีหมายเลข CVE-2022-27255 โดยผู้โจมตีสามารถใช้ช่องโหว่นี้ในการเข้าควบคุมอุปกรณ์จากหลายผู้ผลิต (OEMs) ตั้งแต่ Router, Access Point ไปจนถึง Signal Repeater
นักวิจัยด้านความปลอดภัยจากบริษัท Faraday Security ในอาร์เจนตินา ค้นพบช่องโหว่ใน Realtek SDK สำหรับ Open-Source eCos Operating System และได้เปิดเผยรายละเอียดทางเทคนิคในสัปดาห์ที่ผ่านมาในงานประชุม DEFCON
นักวิจัยทั้งสี่ราย (Octavio Gianatiempo, Octavio Galland, Emilio Couto, Javier Aguinaga) ที่ได้รับเครดิตจากการค้นพบช่องโหว่นี้ เป็นนักศึกษาสาขาวิทยาการคอมพิวเตอร์ที่มหาวิทยาลัยบัวโนสไอเรส
รายงานของพวกเขาครอบคลุมทั้งหมดตั้งแต่การเลือกเป้าหมายเพื่อวิเคราะห์ Firmware การเจาะช่องโหว่ และการทำระบบอัตโนมัติสำหรับตรวจสอบช่องโหว่บน Firmware อื่น ๆ ซึ่งนำไปสู่การค้นพบปัญหาทางด้านความปลอดภัยดังกล่าว
CVE-2022-27255 เป็นช่องโหว่ประเภท Stack-based Buffer Overflow ที่มีระดับความรุนแรง 9.8 ซึ่งทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายได้โดยไม่ต้องยืนยันตัวตน โดยการใช้ SIP packets ที่สร้างขึ้นมาเป็นพิเศษโดยมีโค้ดอันตรายฝังไว้ในข้อมูล SDP
Realtek ได้แก้ไขช่องโหว่นี้ในเดือนมีนาคม ซึ่งช่องโหว่มีผลกระทบกับอุปกรณ์เวอร์ชัน rtl819x-eCos-v0.x และ rtl819x-eCos-v1.x โดยคาดว่าช่องโหว่น่าจะถูกใช้งานผ่านทาง WAN interface
นักวิจัยทั้งสี่จาก Faraday Security ได้สร้าง Proof-of-Concept (PoC) Exploit code สำหรับ CVE-2022-27255 ที่ทำงานได้บน Nexxt Nebula 300 Plus Router โดยพวกเขายังได้แชร์วิดีโอที่แสดงให้เห็นว่าผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ได้แม้ฟีเจอร์ Remote Management จะถูกปิดอยู่
นักวิจัยยังระบุอีกว่า CVE-2022-27255 นั้นเป็นช่องโหว่แบบ Zero-Click ซึ่งหมายความว่าการใช้ประโยชน์จากช่องโหว่นี้สามารถเกิดขึ้นได้โดยไม่ต้องมีการโต้ตอบใด ๆ จากผู้ใช้งาน และอาจเกิดขึ้นได้โดยผู้ใช้งานไม่รู้ตัว
ผู้โจมตีสามารถโจมตีช่องโหว่นี้ได้เพียงแค่รู้ข้อมูล External IP Address ของอุปกรณ์ที่มีช่องโหว่เท่านั้น
Johannes Ullrich นักวิจัยจาก SANS กล่าวว่า ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ในการทำสิ่งต่าง ๆ ดังนี้
ทำให้อุปกรณ์พังเสียหาย
รันโค้ดบนอุปกรณ์ได้ตามที่ต้องการ
สร้าง Backdoor เพื่อสามารถกลับมาเข้าถึงอุปกรณ์ได้ในภายหลัง
เปลี่ยนเส้นทางของ Network Traffic
ดักข้อมูลจาก Network Traffic
หากช่องโหว่ CVE-2022-27255 ถูกนำไปใช้ในการแพร่กระจาย Worm อาจจะทำให้สามารถแพร่กระจายไปทั่วเครือข่าย Internet ได้ภายในไม่กี่นาที
ถึงแม้ว่าแพตซ์แก้ไขจะถูกปล่อยออกมาแล้วเมื่อเดือนมีนาคม แต่ช่องโหว่ที่มีผลกระทบกับอุปกรณ์จำนวนหลักล้านอุปกรณ์นั้น การจะแก้ไขให้ทั่วถึงทุกอุปกรณ์นั้นเป็นไปได้ยาก เนื่องจากหลาย ๆ Vendor นั้นใช้ Realtek SDK ที่มีช่องโหว่บน RTL819x SoC เป็นส่วนใหญ่ และยังไม่ได้ออก Firmware มาเพื่ออัปเดต
ยังไม่เป็นที่แน่ชัดว่ามีอุปกรณ์ Network จำนวนเท่าไรที่ใช้งานชิป RTL819x แต่อุปกรณ์ที่ใช้ชิปเวอร์ชัน RTL819xD นั้นพบในอุปกรณ์จากมากกว่า 60 Vendors เช่น ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet, และ Zyxel
นักวิจัยระบุข้อมูลเพิ่มเติมดังนี้
อุปกรณ์ที่ใช้ Firmware ที่สร้างจาก Realtek eCOS SDK ก่อนเดือนมีนาคม 2022 นั้นมีช่องโหว่
อุปกรณ์มีช่องโหว่ถึงแม้ว่าจะไม่ได้มีการเปิดให้เข้าถึง admin interface
ผู้โจมตีอาจใช้ UDP เพียง Packet เดียว ที่ส่งผ่านทาง Port ใดก็ได้เพื่อโจมตีช่องโหว่
ช่องโหว่นี้ส่งผลกระทบกับ Router เป็นส่วนใหญ่ แต่อุปกรณ์ IoT ที่ใช้ Firmware จาก Realtek SDK ก็อาจจะได้รับผลกระทบด้วยเช่นเดียวกัน
นักวิจัยได้สร้าง Snort rule ที่สามารถตรวจสอบช่องโหว่นี้ได้ มันจะตรวจหาข้อความ “INVITE” ที่มีสตริง "m=audio" และจะแจ้งเตือนเมื่อสตริงมีขนาดมากกว่า 128 bytes และไม่มี Carriage Return (128 bytes เป็นขนาดของ Buffer ที่กำหนดไว้โดย Realtek SDK)
ผู้ใช้งานควรตรวจสอบว่าอุปกรณ์ Network ของตนเองนั้นมีช่องโหว่หรือไม่ และทำการอัปเดต Firmware จาก Vendor ที่ปล่อยออกมาหลังจากเดือนมีนาคมเป็นต้นไป หากเป็นไปได้ นอกเหนือจากนี้องค์กรต่าง ๆ ควรทำการ Block UDP request ที่ไม่ได้มีความจำเป็นต้องเปิดให้มีการเชื่อมต่อ
สไลด์นำเสนอสำหรับงานประชุม DEFCON และสคริปต์สำหรับตรวจสอบช่องโหว่ CVE-2022-27255 สามารถตรวจสอบได้จาก GitHub repository
ที่มา: bleepingcomputer